Erfahrungsbericht: Microsoft Copilot for Security
Quelle: Microsoft

Erfahrungsbericht: Microsoft Copilot for Security

Mit Copilot for Security hat Microsoft ein revolutionäres Tool lanciert, das ­Sicherheitsexperten mit Künstlicher Intelligenz (KI) unterstützen soll. Basevision war Teil der Testphase vor dem Release, CEO Thomas Kurth teilt seine Erfahrungen.

Artikel erschienen in Swiss IT Magazine 2024/06

     

Microsoft Copilot for Security ist eine generative KI-gestützte Sicherheitslösung, die die Effizienz und Fähigkeiten von Verteidigern erhöht, um Sicherheitsergebnisse mit Maschinengeschwindigkeit und -qualität zu verbessern. Das Hauptziel ist, nebst der Reduzierung der Aufwände, mit den Angreifern Schritt halten zu können, die diese Technologien ebenfalls einsetzen.

Copilot for Security unterstützt Sicherheitsprofis in End-to-End-Szenarien wie Incident Response, Threat Hunting, Intelligence Gathering, Administration und Posture Management. Es kann eigenständig verwendet werden und optional mit Produkten aus dem Microsoft-Sicherheitsportfolio wie Microsoft Defender XDR, Microsoft Sentinel und Microsoft Intune integriert werden. Darüber hinaus wird eine laufend wachsende Gruppe von Drittanbieterdiensten, wie zum Beispiel Tanium oder Cyberark unterstützt. Das innovative Werkzeug für Security-Analysten und Administratoren ist seit 1. April 2024 für alle Kunden verfügbar und wird laufend um neue Fähigkeiten erweitert.

Wie kann ich Copilot for Security nutzen?

Microsoft bietet zwei Benutzeroberflächen: ein eigenständiges Portal und eine integrierte Version, die in den verschiedenen Microsoft-Portalen themen- und funktionsbezogen direkt wichtige Fähigkeiten anbietet und eine nahtlose Interaktion mit bestehenden Microsoft-Diensten ermöglicht.

Die eigenständige Version ist für Nutzer gedacht, die eine dedizierte Umgebung bevorzugen und insbesondere über Plugins weitere Drittanbietersysteme einbinden. Zum Beispiel ist es damit möglich, dass jemand sein bestehendes Nicht-Microsoft-SIEM (Security Information and Event Management) über ein Plugin einbindet. Dadurch kann Copilot for Security Informationen über entdeckte Incidents in gleicher Form wie aus Microsoft-Produkten abfragen, analysieren und mit anderen Daten korrelieren, die nicht im SIEM vorhanden sind. Die Entwicklung solcher Plugins ist einfach und intuitiv, es gibt Vorlagen, die verwendet werden können. Zudem ist zu erwarten, dass einige Anbieter vermutlich bald Schnittstellen zu ihren Produkten anbieten werden.

Wie funktioniert Copilot for Security?

Wenn man über Künstliche Intelligenz nachdenkt, muss man sich zuerst überlegen: Kann etwas, was sehr kreativ ist, überhaupt strukturiert arbeiten? Gerade diese Fähigkeit wird doch oft in Stellenausschreibungen im Bereich Cyber Security und auch IT-Administration genannt, da man nachvollziehbare Resultate erwartet. Um es vorneweg zu nehmen: Microsoft hat dieses Problem sehr gut in der Architektur gelöst.

Vereinfacht erklärt wird die Anfrage, unabhängig davon, ob sie von einem System oder einem Benutzer kommt, analysiert, um zu definieren, was als Ergebnis erwartet wird. Danach stellt Copilot eine Liste der Fähigkeiten zusammen, die Plugins bereitstellen und führt diese aus. Die Plugins und deren Fähigkeiten sind strukturierte und definierte Prozesse, die konstante Ergebnisse zurückliefern. Diese Ergebnisse werden im Anschluss durch das spezifisch trainierte Large Language Model (LLM) basierend auf Azure OpenAI zusammengefasst und dem Benutzer zurückgeliefert.


Diese Abfolge garantiert inhaltlich sehr nachvollziehbare Ergebnisse, auch wenn die textliche Aufbereitung am Ende gewisse Variierung aufweisen kann. Gerade während der Testphase vor dem Release war diese Nachvollziehbarkeit der Ergebnisse nicht immer gegeben, aber funktioniert nun massiv besser.

Wie kann Microsoft Copilot for Security helfen?

Was das System kann, wird darüber definiert, auf welche Daten der Benutzer Zugriff hat und welche Fähigkeiten die installierten Plugins bereitstellen. Es bestehen bereits heute viele Plugins von Microsoft, aber auch von Drittanbietern, die genutzt werden können und die Funktionalitäten bereitstellen. Beim Testen erkennt man schnell, dass einer der grössten Vorteile das Sammeln und Verarbeiten von Informationen über verschiedene Systeme hinweg ist. Ohne Copilot for Security müsste man in einem manuellen Prozess zwischen mehreren Produkten und Portalen hin und her navigieren und sich Inhalte merken und diese dann verarbeiten.

Security Analyst: Die ersten vorgestellten Fähigkeiten konzentrierten sich auf die Unterstützung von Security-Analysten. Von Microsoft wird dabei oft der Effizienzgewinn als grosser Vorteil angegeben, obwohl der Aspekt des Qualitätsgewinns bei der Analyse noch fast zentraler ist. Anstatt nur einige wenige Überprüfungen durchzuführen, können mit Copilot for Security viele unterschiedliche Daten rund um einen Security Incident analysiert werden.


Eine sehr interessante und hilfreiche Fähigkeit ist die Analyse eines Scripts. Ein Script oder Programmcode kann sehr lang oder sogar «obfuscated», also für einen Menschen unlesbar sein. Mit Copilot kann dieser innert Sekunden interpretiert und zusammengefasst werden.

Hingegen ist die meist als Erstes genannte Fähigkeit, einen Incident zusammenzufassen, im täglichen Betrieb von geringer Bedeutung. Dies, da Microsoft Defender XDR die Daten bereits sehr gut grafisch und strukturiert aufbereitet und diese damit effizient von einem Analysten gelesen werden können.

Endpoint Engineer und Administrator: Wie zu Beginn erwähnt ist Copilot for Security nicht nur eine Lösung für Security-Spezialisten, sondern auch für Administratoren, wie zum Beispiel im Bereich von Microsoft Intune. Darin werden seit Mai 2024 erste Fähigkeiten bereitgestellt, die in ersten Tests bereits sehr hilfreich waren. Dazu gehört insbesondere die Möglichkeit, Konfigurationen oder Geräte zu vergleichen. Beobachtet man beispielsweise auf einem Laptop ein seltsames Verhalten, kann das System gefragt werden, was der Unterschied zu einem funktionierenden System ist, und Copilot kann einem innerhalb kürzester Zeit die Unterschiede in Bezug auf Hardware, Gruppenmitgliedschaften, zugewiesene Konfigurationen oder Applikationen aufzeigen. Dies ist ein grosser Mehrwert, da solche Aufgaben rein über die Benutzeroberfläche sehr ressourcenaufwändig wären.

Identity Engineer und Administrator: Im Bereich Identity sind ebenfalls einige Fähigkeiten angekündigt, die im täglichen Betrieb Support-Organisationen unterstützen können, indem sie Fragen stellen können wie zum Beispiel: Warum konnte sich Benutzer XY nicht anmelden? Diese Frage ist einfach zu beantworten, wenn man weiss, wo diese Informationen zu finden sind und das Anmelde-Log versteht. Arbeitet man aber nicht täglich mit Entra ID, sind diese Fähigkeiten eine grosse Arbeitserleichterung.

Threat Intel: Ein weiteres und sehr interessantes Feature ist, dass Microsoft Threat Intelligence Premium ein integraler Bestandteil von Microsoft Copilot for Security ist. Dies ermöglicht den Zugang zu einer umfangreichen Datenbank von Sicherheitsbedrohungen. Diese Informationen sind unerlässlich, um Incidents besser kategorisieren zu können, ein tiefgreifendes Verständnis der aktuellen Bedrohungslandschaft zu entwickeln und entsprechende Sicherheitsstrategien zu formulieren.

Wie starte ich am besten?

Wer Copilot for Security testen möchte, kann dies einfach und ohne grosse Risiken machen. Es wird lediglich eine Azure Subscription benötigt und Produkte, die bereits über ein Plugin verfügen. Die Aktivierung erfolgt in zwei Schritten, die auf Microsoft Learn gut beschrieben sind:

1. Rechenleistung provisionieren, sogenannte Security Compute Units (SCU)
2. Standardumgebung konfigurieren


Neben dem technischen Setup ist es wichtig, sich mit dem Thema Prompt Engineering auseinanderzusetzen. Darunter versteht man, dass man lernen muss, wie eine Frage am besten formuliert wird, damit Copilot for Security auch die richtigen Fähigkeiten der Plugins auswählt. Dies wiederum kann einen Einfluss auf die Geschwindigkeit und die benötigte Anzahl SCU haben.

Berücksichtigt der Copilot den Datenschutz?

Wie in der Architektur erkennbar ist, verbleiben die Kundendaten (at rest) in den bereits verwendeten Quellsystemen und werden nur zur Verarbeitung in Copilot for Security übertragen und, sofern die Datenfreigabe deaktiviert ist, nicht gespeichert. Auch wenn die Datenfreigabe für Kundendaten aktiviert ist, werden die Daten nur eingeschränkt für die Produktweiterentwicklung verwendet, jedoch werden sie:

- Nicht für OpenAI freigegeben
- Nicht für den Vertrieb verwendet
- Nicht für Dritte freigegeben
- Nicht zum Training grundlegender Azure OpenAI Modelle verwendet


Copilot for Security erfüllt alle Standards zur Datenkonformität analog zu den anderen Azure-Diensten.

Was kostet Copilot for Security?

Die Abrechnung von Copilot for Security erfolgt auf Basis von Security Compute Units (SCU) pro Stunde als Azure-Dienst. Obwohl die Preisangabe pro Stunde besteht, wird diese nicht nur bei Nutzung berechnet, sondern wie eine virtuelle Maschine und kostet demnach pro Monat circa 2670 Franken. Eine genaue Berechnung, wie viele Abfragen eine SCU unterstützt, ist nicht möglich, da dies von unterschiedlichen Faktoren abhängt, unter anderem den zu verarbeitenden Daten oder auch der Anzahl Plugins. In einer kleineren Umgebung konnten in ersten Tests etwa fünf einfache Security Incidents mit einer SCU pro Stunde zusammengefasst werden. Da bei einer Incident-Analyse oder auch bei anderen Use Cases vermutlich mehrere Abfragen gestartet werden, reduziert sich dieser Wert entsprechend und die Empfehlung von Microsoft, mit drei SCUs zu starten, ist eine sinnvolle Angabe. Eine einzelne SCU kann höchstens in sehr kleinen oder Testumgebungen eine mögliche Lösung sein.

Budget für Copilot einplanen

Der neue Service wurde erst im April 2024 veröffentlicht und steht am Beginn der Entwicklung. Man darf gespannt sein, welche weiteren Szenarien in Zukunft abgedeckt werden können. Insbesondere die angekündigten Szenarien für Administratoren aus dem Bereich Microsoft Intune und Microsoft Entra ID haben grosses Potenzial, IT-Spezialisten erfolgreich zu unterstützen. Es ist davon auszugehen, dass in den nächsten Jahren sehr viele Unternehmen auf dieses Tool setzen werden, da die Fähigkeiten zunehmen und dadurch auch die Kosten gut argumentiert werden können. Es macht also Sinn, sich bereits jetzt aktiv mit dieser Technologie auseinanderzusetzen oder sie zumindest in der nächsten Budgetphase einzuplanen.

Der Autor

Thomas Kurth ist CEO und Principal Security Consultant bei Basevision. Als Microsoft Copilot for Security Design Partner beschäftigt er sich seit Beginn mit dieser Lösung. Dank seines Engagements in der IT-Community wurde er bereits mehrmals von Microsoft zum MVP ­gekürt.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER