מי אתה Copilot for Security?

[ זמן קריאה משוער; 11 דקות. ]

סביר להניח ששמתם לב שהשתלטות הבינה המלאכותית מתרחשת מאז 2023, ותעשיית אבטחת הסייבר אינה נשארת אדישה לכך. האם יש לכך הצדקה או שמדובר על עוד באזז עם הבטחה גדולה שיתרסק בהמשך כמו שהתרחש עם תחומים אחרים.

בחצי שנה האחרונה בחנתי ועבדתי עם מספר כלי בינה מלאכותית מהדור החדש במטרה להבין את היכולות שלהם, אפשרויות בתהליכי אבטחה (טכני/אנושי), איך הם מסייעים ביומיום של תחקור אירועי אבטחה, ניטור איומים, הורדת סיכונים, הגברת נראות, ניהול פגיעויות ועוד שלל פעולות שנעות בין צוותי תחקור, צוותי SOC וצוותי SecOps.

הכלים הם חלק מקטגוריה חדשה שנועדה לסייע ביומיום, וכמו שידוע, היומיום כולל תריסרי פעולות כמו ניווט בין התראות, הבנה של התראות כוזבות, מענה להתראות עם פוטנציאל, בלימת אירוע, פיתוח חוקי זיהוי, הקשחות ועוד. האם הכלים יכולים לסייע ביומיום? אפשר לומר בזהירות רבה שישנם כלים שכבר עכשיו יכולים להחליף אנליסטים ברמת TIER1 בצוותי SOC.

למאמרים בעברית בנושאי אבטחה ובינה מלאכותית או סריה נוספת בעברית של מאמרי אבטחה ובינה.

כלי אבטחה מבוססי בינה יוצאים בזה אחר זה, חלקם אולי בעלי ערך ואחרים לגמרי פחות. הקטגוריה של AI-enhanced Security שהיא רק בתחילת דרכה עוד תשנה את המשחק לאוכלוסיות מסוימות. באפריל הקרוב ייערך מיטאפ דיגיטלי ראשון בנושא Copilot for Security. במיטאפ אדבר על ההתפחויות האחרונות, אדגים על היכולות והאפשרויות ועוד תובנות מהשטח. מוזמנים.ות להירשם ולשתף.

המאמר הנוכחי, מי אתה Copilot for Security? מאמר מהשטח נוגע הוא מאמר  שנודע באופן כללי ביכולות, אפשרויות ואיך זה נראה ביומיום.

אחד המאפיינים הבולטים בכל הכלים הוא הידע, הניסיון והבנה של הגורם המתפעל, כלומר, הגורם שמתפעל צריך להבין ביומיום עבודת SOC, החל מתגובה להתראות, הבנה מהי התראה כוזבת ומהי לא ובצורה מהירה, מתחקר (או תיחקר) תקריות אבטחה, ביצע בלימה ותיקון וכן הלאה. בקצרה, אם לא מדובר על גורם בעל הבנה וידע מעמיק (משהו כמו TIER3) אז הכלים הנ״ל יכולים להיות נחמדים בארסנל הכלים הארגוני.

Copilot for Security, מי אתה?

Copilot for Security הוא כלי בינה מלאכותית מהדור החדש של Generative AI ומבוסס ענן. מטרתו לסייע בשיפור האבטחה מול תשתיות, כלי אבטחה ופלטפורמות מגוונות, בין אם Microsoft או צד שלישי על ידי ביצוע פעולות בצורה מהירה ולהציג תובנות ומסקנות יעילות.

האם הדבר יחולל מהפכה באבטחת מידע וסייבר כפי שאנו מכירים אותה היום? המאמר עונה בחלקו על שאלה וסוגיה זאת וכיצד לרתום את כלי הבינה המלאכותית החדש של Copilot for Security. בין היתר משתמש בדוגמאות מעשיות כדי לחקור כיצד Copilot for Security מתכוון לזעזע גישות מסורתיות בתחומי אבטחת סייבר שונים. אז בסוף המאמר אפשר לשפוט איך זה מסתדר עם ההיצע הנוכחי.

Copilot for Security הוא כלי אבטחה שמאפשר לצוותי אבטחה ובפרט SOC לנוע במהירות ובקנה מידה של בינה מלאכותית גנרטיבית. Copilot for Security משלב את המודלים המתקדמים ביותר של שפה גדולה (LLMs) מבית OpenAI עם מידע בקנה מידה גדול אשר כולל יותר מ 80 טריליון נתונים וסיגנלים מבוססי אבטחה, ברמת יומיומית.

Copilot for Security משלב את העוצמה של מודלי AI המתקדמים של GPT-4 של OpenAI עם מודל ספציפי לאבטחה שפותח פנימית על ידי מיקרוסופט. בין היתר מאפשר לאנליסטים ב SOC להנחות את Copilot for Security כפי שהיית מבקש מ ChatGPT. כלומר, שואלים שאלה (הנחיות), והכלי מחזיר תגובה שנוצרת על ידי בינה מלאכותית שעונה על שאלת האבטחה.

הפתרון ממנף את מלוא הכוח של תשתית OpenAI כדי ליצור תגובה להנחיית משתמש על ידי שימוש בתוספים ספציפיים לאבטחה, כולל מידע ספציפי לארגון, מקורות סמכותיים ומודיעין איומים גלובלי. על ידי שימוש בתוספים כמקורות נקודות נתונים, לצוותי האבטחה יש נראות רחבה יותר לאיומים וזוכים להקשר רב יותר, ויש להם הזדמנות להרחיב את הפונקציונליות של הפתרון.

Copilot for Security תוכנן מתוך מחשבה על אינטגרציה ולכן משתלב בצורה חלקה עם מוצרים בפורטפוליו של Microsoft Security, כגון:

• Microsoft Defender XDR.
• Microsoft Sentinel.
• Microsoft Intune.
• כמו גם כלים צד שלישי אחרים.

המוקד העיקרי מתרכז סביב:

תגובה לאירוע – מסכם במהירות מידע על אירוע על ידי שיפור פרטי האירוע עם הקשר ממקורות נתונים, מעריך את השפעתו ומספק הדרכה לאנליסטים כיצד לנקוט בצעדי תיקון עם הצעות מודרכות.

ניהול נוף האבטחה – מספק מידע על אירועים שעלולים לחשוף את הארגון לאיום מוכר וידוע. האנליסטים מקבלים הנחיות מקדימות כיצד להגן מפני אותן נקודות תורפה וכניסה פוטנציאליות.

דיווחי אבטחה – מפיק סיכומי מנהלים או דוחות מוכנים לשיתוף על חקירות אבטחה, פרצות שנחשפו בפומבי או גורמי איומים וקמפיינים שלהם.

הנחיות (Promptbook) – הנחיות מותאמות מאפשרות יצירה ושימור הנחיות בשפה הטבעית עבור תהליכי עבודה ומשימות אבטחה נפוצות.

העצמת פעולות וצוותים – מעצים ומפשט את השילוב עם הקשרים עסקים כך שיהיה ניתן לחפש ולשאול על תוכן ספציפי.

אינטגרציה – מתחבר לכלים רבים, בינהם לכלי של Microsoft Defender External Attack Surface Management כדי לזהות ולנתח את המידע העדכני ביותר על סיכוני משטח ההתקפה החיצוניים של הארגון.

אופטימיזציה – אופטימיזציה של שימוש ב Copilot for Security לטובת שימוש יעיל וניצול יעיל של הכלי על ידי הגורם המתפעל.

Copilot for Security, נקודות עניין

איפה הכלי יכול לפגוש אותנו ביומיום? הכלי יכול לפגוש כל סביבה בנקודת עניין או דרישה ספציפית. יכול להשתנות בין סביבה לסביבה.

נוצר עבור אנליסטים ב SOC – אפשר לקחת את Copilot for Security לאזורים מגוונים בסביבה הארגונית אבל מי שיתפעל את הכלי ביומיום הוא צוות ה SOC או צוות SecOps ולא אחרת. צוותים מתחקרים יוכלו לעשות בו שימוש נוסף בעת חקירת אירוע, אך לא יתבססו עליו.

כלי חיוני בארסנל כלי האבטחה – במידה והכלי ינוצל בצורה נכונה אז Copilot for Security הוא כלי חיוני שיכול לתת ערך, החל מתהליכי אבטחה ועד אוטומציה. כלומר, יכול להפנות משאבי כ״א למשימות בעלי עניין, לסגור פערים כאשר ישנו חוסר בכ״א ולהגביר נראות על אזורים חשוכים. ניצול של פחות מ 70% ביומיום לא יביא ערך!

לתפוס את מה שהאנליסטים עלולים לפספס – מגדיל את תהליך הגילוי כך שניתן לראות איומי סייבר מוקדם ונותן הדרכה חזויה כיצד לעצור את הצעד הבא של שחקן בשטח.

שיפור איכות האיתור באמצעות ניטור ומשוב פרואקטיבי – עוקב באופן יזום אחר הסביבה הארגונית. המודל מתעדכן בכל זיהוי חדש, והוא הופך טוב יותר בין התראות ותקריות ולכן יספק יותר מידע לגבי איום אמיתי ועתידי.

תמיכה בתגובה מהירה לאירועים – יכול להעריך את כל סביבת הענן ולחזות את המערכות שסביר להניח שהתוקף יכוון אליהן. על ידי כך מאפשר להכיל ולהסיר במהירות תוקף או פעולות תקיפה.

הערכות סיכונים מתמשכות ושיפור נוף האבטחה – מעריך ללא הרף את סביבת הענן ומספק המלצות ייחודיות לטיפול בסיכונים פוטנציאליים באמצעות שיטות אבטחה מומלצות.

תמיכה וסיוע בתאימות – יכול לערוך ביקורות תאימות קבועות של סביבת הענן שלך ולספק המלצות כיצד לעמוד בתקני תאימות.

סגירת פערי מיומנויות – ההערכה היא שאנשי אבטחה מיומנים ימלאו 3.4 מיליון משרות (נכון לתחילת שנת 2014). Copilot for Security יכול למלא את הפער של מיומנויות בצוותי אבטחה על ידי סיוע לצוותי האבטחה הנוכחיים ולהגביר את תהליכי העבודה.

אינטגרציה בין פתרונות האבטחה – הכוח של Copilot for Security נובע מהשילוב החזק עם כלי האבטחה של Defender XDR, Microsoft Sentinel, Intune, Entra ID וכן צד שלישי.

שימוש בינה מלאכותית אחראית – מיקרוסופט מחויבת להשתמש בפרקטיקות בינה מלאכותית אחראיות כדי להרחיב את יכולות אנליסטי האבטחה תוך חידוש בינה מלאכותית במטרה לטפח השפעה חיובית. למשל, Copilot for Security משתמש במערכת למידה בלולאה סגורה, כך שהנתונים הארגוניים בסביבתך יישארו בשליטתך ולא ישמשו להכשרה או להעשרת מודלים בסיסיים של AI אחרים.

Copilot for Security, מאיפה מתחילים?

Microsoft Copilot for Security יהיה זמין ברחבי העולם החל מחודש אפריל 2024. 

בכמעט שנה של פיילוט עם הכלי ניתן לומר שהמגמה חיובית ויש השראה מתוצאות המחקר אשר מראות שצוותים מנוסים בתחום האבטחה הם מהירים ומדויקים יותר בעת שימוש ב Copilot for Security, ויש לכך משמעויות:

• גורמי אבטחה מנוסים היו מהירים בעת מענה ב 22%.
• גורמי אבטחה מנוסים מדויקים יותר ב 7% בכל המשימות.
• 97% מגורמי האבטחה המנוסים ימשיכו להשתמש בכלי ביומיום שלהם.

במידה וישנו רישוי נדרש ומתאים וכן הרשאות מתאימות ניתן להיכנס לממשק בקישור הבא: https://securitycopilot.microsoft.com.

Copilot for Security, שימוש פוטנציאלי

הכוח של Copilot for Security יכול להשתרע על פני קשת רחבה של תחומי אבטחת מידע וסייבר, מנוף האבטחה, דרך דיווח ועד ניטור תאימות. ניתן להשתמש בכלי כדי לעזור להגביר את תהליכי העבודה בכל אחת מהדיסציפלינות הבאות:

תגובה לאירוע – Incident Response

ניתן להשתמש ב Copilot for Security בעת תגובה לתקריות באמצעות מגוון פעולות:

• בדיקה והערכה של תקרית: יכול להעריך במהירות תקרית ולהנחות את שלבי התגובה הראשוניים.
• בלימת והפחתת תקריות: מספק תובנות כיצד להכיל תקריות אבטחה ולצמצם נזקים. למשל, אילו מערכות יש לבודד, אילו אמצעי אבטחה או בקרות זמניים יש ליישם, ואילו תיקונים יש לפרוס באופן מיידי.
• ניתוח וחקירה משפטית: מנתח במהירות קבצים או פקודות ולזהות אינדיקטורים ולחפש מכונות מושפעות מאותם פקודות או קבצים.
• תיקון ושחזור: מסייע בפיתוח תוכנית תיקון לשחזור מערכות מושפעות ולהחיל בקרות אבטחה ותיקונים הכרחיים כדי למנוע מהתקרית להתרחש שוב.

מודיעין איומים – Threat Intelligence

Copilot for Security מהשתמש במודיעין האיומים הגלובלי של מיקרוסופט הקולט יותר מ 80 טריליון סיגנלים מידי יום וכולל את איומי הסייבר האחרונים המשפיעים על ארגונים ברחבי העולם. בנוסף, ישתמש בעדכוני מודיעין אחרים של צד שלישי, כדי לזהות אוטומטית אינדיקטורים בסביבה ולספק הקשר להתראות אבטחה או סיוע בחקירת תקריות.

בנוסף, יספק נתונים אודות ניתוח ודיווח כדי לסייע באינטליגנציה של האיומים שהארגון מכיל. הכלי מנתח את המודיעין, מזהה דפוסים רלוונטיים ומספק תובנות אשר ניתנות לפעולה כדי להפחית סיכונים פוטנציאליים.

ציד וניטור איומים – Threat Hunting

ציד וניטור איומים תמיד מתחיל בפיתוח השערה שקובעת מה צריך יחפש בסביבה. ולכן, Copilot for Security מסייע ביצירת השערת ציד על ידי מתן תובנות אבטחה על הטקטיקות/טכניקות/הליכים המוכחים (TTPs) ששחקנים במרחב משתמשים בהם וכן מצבים של זיהוי תרחישי איום פוטנציאליים.

לאחר מכן אפשר להשתמש בתובנות האבטחה הללו כדי ליצור שאילתת ציד מותאמת אישית והשילוב עם תכונת הציד המתקדם מתוך הכלים של Defender XDR. שאילתות אלה יכולות לבצע את ציד האיומים על ידי חיפוש נתוני תקיפה, כגון אינדיקטורים ידועים, פעילויות חשודות או דפוסים הקשורים לאיומי סייבר חדשים.

ניטור תאימות וציות – Compliance Monitoring

ארגונים רבים חייבים לעמוד בתקנים בתעשייה כדי להגן על הנתונים הארגוניים ולעמוד בדרישות הרגולטוריות. בין אם זה לבצע ביקורת ידנית על הארגון ולהבטיח שכל תנאי מתקיים יכול להיות מייגע. גם כאן, Copilot for Security מסייע במספר דרכים:

• הערכת מדיניות תאימות: מסייע להעריך את תאימות הארגון לתקנים בתעשייה, לדרישות רגולטוריות ולמדיניות פנימית על ידי הערכת בקרות האבטחה ברחבי הסביבה.
• דיווח תאימות ואטומציה: במקום ליצור דוחות או ממשקים מבוססי דוחות באופן ידני כדי לפקח על התאימות ניתן ליצור דוחות וממשקים באופן אוטומטי. זה מסייע לעקוב אחר ההתקדמות לעבר היעדים ולהדגים.
• ביקורות והנחיית תיקון: יכול לסייע בביצוע ביקורות מקיפות במהירות, וכן יצירת שלבי תיקון כדי להביא את הסביבה לסטנדרטים הרגולטוריים. זה יכול לחסוך זמן מביקורת ידנית ומציאת הנחיות לתיקון ממבקרים.
• ניטור רציף של עדכוני רגולציה: כאשר התקנים מתעדכנים וגופים מנהלים משנים את דרישות הרגולציה שלהם, הסביבה צריכה  להישאר מעודכנת כדי להבטיח תאימות. גם כאן, Copilot for Security יכול לעדכן באופן אוטומטי בשינויים רגולטוריים ולהדריך כיצד שינויים אלה עשויים להשפיע על דרישות התאימות.

ניהול פגיעות – Vulnerability Management

ניהול נקודות חלשות ונקודות תורפה הוא קרב בלתי פוסק ומרדף יומיומי, ואלה צצות מידי יום. זה יכול להיות מכריע בכל סביבה שפורסת מערכות ואפליקציות שונות. Copilot for Security מסייע בשמירה על הקשריות ארגונית אל מול סיכונים ולהישאר בטופ של המשימה הזו עם הנראות של כל סביבת הענן.

מושך נתוני אבטחה בזמן אמת מכל עמדות הקצה והשרתים כדי לקבוע גרסאות ולהתאים בזאת לנקודות תורפה ידועות שנאספו מתוך הזנת מודיעין. אם עמדת קצה או שרת נמצאים במצב פגיע, ה Copilot for Security יוצר שלבי תיקון כדי להפחית את הסיכונים הנלווים או אפילו האם להיות מוגדר ולעדכן את המערכת הפגיעה באופן אוטומטי.

האפשרות להתריע אוטומטית על נקודות תורפה אינה דבר חדש.הכלי של Microsoft Defender for Endpoint כבר עושה זאת. עם זאת, שימוש בבינה מלאכותית ליצירת שלבי תיקון, ביצוע אוטומטי של פעילויות צמצום סיכונים מורכבות או תיקון מערכות ללא אינטראקציה עם המשתמש הן יכולות חדשות שמאיצות משמעותית את ניהול הפגיעויות ומשפרות את אבטחת הסביבה.

איתור – Detection Engineering

Copilot for Security נועד ללמוד מתקריות קודמות כדי ליצור תגובות מדויקות יותר בעתיד. הלמידה נעשית באמצעות משוב משתמשים וניתוח נתונים. המשמעות היא שאותו זיהוי שהוא מיישם יהיה פחות רועש (Alert Reduction), משם יש את האפשרות להתמקד בתקריות אמיתיות הדורשות תשומות גבוהות יותר. ככל ש Copilot for Security פועל זמן רב יותר על הסביבה, כך הוא נהיה יעיל יותר.

בנוסף, מאפשר ליצור כללי זיהוי. לדוגמה, אפשר לבקש ממנו ליצור זיהוי המופעל כאשר ישנו ניצול פגיעות חדשה ספציפית. זה חוסך זמן ומאמץ של מחקר ידני של הפגיעות וכתיבת החוק, ומבטיח שהסביבה מוגנת הרבה יותר מהר. כרגע עובד בצורה טובה רק על שאילתות מסוג Security Event.

Copilot for Security, פרקטיקות בשטח

בסוף מה שמעניין ביומיום (בפרט מהיבט אישי שלי) הוא הפרקטיקות בשטח, אחרת אין עניין!!! כמו בכל כלי אחר.

מבט קצר של סקירת תקריות אבטחה נפוצים בעולם האמיתי וכאלה שסביר להניח שתתקלו בהם כשאתם עובדים על ממשקי SOC יכול להיות לפי הדוגמאות הבאות.

תרחיש הנדסה לאחור של קובץ/פיילוד נגוע

התרחיש – תוקפים משתמשים לעתים קרובות פיילודים זדוניים בתוך סקריפטים מבוססי PowerShell כדי לתקוף מכונות בסביבה. כאנליסט SOC, אתה תיתקל בפיילוד זדוני בסקריפט ולכן תצטרך לפענח ולאחר מכן למצוא אינדיקטורים בסביבה שיכולים לשהפיע ל מערכות נוספות.

ללא Copilot for Security – במידה ואין את הכלי הנכון או ידע נרחב זה יחייב אותך לעבוד על הסקריפט שורה אחר שורה ולהשתמש בכלים של צד שלישי כדי לפענח ולטשטש את הקוד ב PowerShell, במטרה למצוא אינדיקטורים. תהליך מייגע שיכול לקחת זמן וכזה שדורש היכרות מעמיקה עם PowerShell, מצריך היכרות מצוינת עם הכלי, ובפרט, הבנה ברמת הבורג של איך תוקף עלול להתנהג.

עם Copilot for Security ניתן לפענח אוטומטית את הסקריפט ולחלץ אינדיקטורים רלוונטיים שיהיו זמינים לחפש נוסף. הפעולה שצריכה להיעשות היא לשים את הסקריפט בהנחיות (Promptbook), והכלי יעשה את יתר הפעולות. זה חוסך זמן ומוריד את הרף לגבי הידע הנדרש.

 

תרחיש תגובה לתקרית

התרחיש – תגובה לתקריות צריכה להיות יעילה. לשם כך, צריך לבצע בדיקה ראשונית של התראות כדי לקבוע אילו מהם עליך לתעדף ולהגיב. כאנליסט SOC, לעיתים קרובות עלולים לראות התראה שמצריכה סיכום כדי לתעדף (או לבטל) את ההתראה במהירות.

ללא Copilot for Security – תהליך זה מחייב ניווט בהתראה באמצעות פתרון האבטחה של הארגון. לאחר מכן צריך לנסות לאסוף את כל נתוני האבטחה הרלוונטיים הקשורים להתראה זו, קרי, מערכות מושפעות, תהליכים מעורבים, משתמשים מעורבים, וכו'. ברגע שיש את כל הארטיפקטים והממצאים, צריך לחבר את זה כדי לסכם את ההתראה, ורק אז אתה יכול להחליט על עדיפות ההתראה.

עם Copilot for Security – מאחזר ומנתח התראה באמצעות השילוב שלו עם Microsoft Sentinel. הכלי משתמש במודל AI כדי לסכם את מה שהתרחש ולהדגיש פרטים מרכזים. בנוסף, יוצר תצוגה ויזואלית של התקרית. מכאן, ניתן לקרוא את הסיכום הזה ולהשתמש בגרף כדי להבין את המקרה. לאחר מכן ניתן להשתמש בידע שלך כדי לקבוע את העדיפות של התראה זו. בשלב זה, Copilot for Security מספק הצעות שימושיות לגבי הצעדים הבאים הפוטנציאלים. כמו כן, מאפשר לחקור את השפעת הפעולות על מערכות. לאחר סיכום ראשוני, יאפשר לעבור לחקירה מלאה ולתיקון פוטנציאלי.

תרחיש Threat Hunting

התרחיש – ניטור וציד איומים הוא חלק מרכזי בכל SOC. למשל, כאשר נתקלים באינדיקטורים מתוך מודיעין, צריך לחפש אותו בסביבה כדי לקבוע אם מערכות אחרות הושפעו.

ללא Copilot for Security – כדי לבצע ציד איומים באמצעות אינדיקטורים, תחילה צריך למצוא אינדיקטורים מתוך אותו מודיעין. משם יוצרים שאילתה כדי לחפש אינדיקטורים בסביבה. כאשר משתמשים בכלי Advanced Hunting וזה ייעשה באמצעות שאילתה הדורשת ידע מעמיק בקוסטו (KQL). הפעולות יהיו מחקר השאילתה, כתיבה ולאחר מכן כתיבת השאילתה ידרוש זמן ומאמץ בחיפוש, מה שעשוי לתת לתוקף זמן להתפשט בסביבה ולסכן מכונות אחרות.

עם Copilot for Security – מאפשר לסכם התראה ולחלץ אינדיקטורים רלוונטיים במהירות. ולכן, מכאן עוברים מסיכום של התראה לציד איומים על ידי הנחיות, למשל, האם האינדיקטורים נראו בסביבות אחרות. למשל, ההצעה שתספק סריקת אימיילים המכילים את הקובץ שנפרץ ולראות מי שלח/קיבל את הקובץ כדי לגלות אם משתמשים נוספים הושפעו. זה גם יוזם ציד איומים כדי לחקור אם היו כניסות חשודות כלשהן הקשורות למשתמש ששלח את האימייל. זה עוזר לקבוע האם החשבון נפרץ.

לסיכום

Copilot for Security וכלים אחרים באותה קטגוריה עוד יעשו שינוי באזורים שונים בצוותי SOC וכן SecOps, אך האם היא תחליף את אנליסטי SOC? במקרים מסוימים זה נראה סביר בעתיד המיידי ולאוכלוסיות ספציפיות. המאפיין המרכזי הוא שהגורם המתפעל צריך להיות בעל ידע והבנה מעמיקה בכדי לתפעל כלי כמו Copilot for Security.

כאמור, Copilot for Security עוזר להגביר את תהליכי העבודה ולהאיץ את חקירת האירוע. הוא נעזר בכוחה של AI כדי לספק פתרונות שונים לבעיות אבטחה. ובכל זאת, הכוח שלו מגיע מההנחיה שלך! מונחית על ידי הידע שלך בתחום! כדי להשתמש ב Copilot for Security ביעילות, צריך לדעת את השאלות הנכונות ולעיתים תשובות פוטנציליות.

בהדגמות מסוימות, ראיתי הבדלים בין מציגים, כלומר, בין מציגים עם ניסיון בתחקור תקריות אבטחה וכאלה שפיתחו חוקי זיהוי ועבדו בעבר ב SOC, לבין מציגים ללא ניסיון או ניסיון מעוט באבטחה כללית. ההבדלים התאפיינו בהבנה של הדקויות בין תקריות, פיתוח חוקים ותפעול פעולות והבנה של מתי התראה היא כוזבת, פוטנציאל או תקרית אמת.

בנוסף, אפשר לראות עדיין שישנם טעויות בממשק, עדיין יראה פרטים, כמו, Windows 9 כמערכת הפעלה לגיטימית ושהפעלת הכלי דורשת מנתח אבטחה מיומן עם כושר המצאה אנושי.

כמו טכנולוגיות ענן אחרות, Copilot for Security עדיין מאיצה את הפעילות, דורשת פחות אנשים (ללא ניסיון) כדי להקים ולתחזק מערכות, ומאפשרת להתקדם בצורה פחות סבוכה. המשמעות עשויה להיות שאנליסטים של SOC העובדים היום יצטרכו ללמוד מיומנויות חדשות כדי ליישר קו עם Copilot for Security או כלים זהים. ( כמו שהיה במעבר לענן).

Copilot for Security היא רק ההתחלה של מהפכת הבינה באבטחת מידע וסייבר.