全面集成AI，微软发布新一代网络安全产品路线图

在日前召开的微软Ignite大会上，微软副总裁Vasu Jakkal发布了一系列面向AI时代的网络安全产品，包括推出首款集成Security Copilot的统一安全运营平台；数据安全、身份、设备管理等领域产品全面集成Security Copilot，包括Microsoft Defender、Microsoft Defender云端版、Microsoft Sentinel、Microsoft Intune、Microsoft Entra和Microsoft Purview等；通过Defender、Purview等产品保障人工智能的使用安全等。Security Copilot是微软发布的一款由人工智能提供支持、类似于ChatGPT 的新型网络安全助手，利用微软的威胁情报足迹在事件响应期间做出更快的决策，并帮助进行威胁搜寻和安全报告，借助微软庞大的全球威胁情报和每天数十万亿个信源提供的信息，以快速检测及响应来帮助企业更好地应对当下日益严峻的网络安全形势。

近年来，网络攻击的速度、规模和复杂性不断增加，传统工具已无法应对网络犯罪分子构成的威胁。仅仅两年时间，微软检测到的密码攻击数量已经从每秒579次增加到每秒4000多次。根据Cybersecurity Ventures的数据，全球网络犯罪成本预计将在2025年达到10.5万亿美元，而2015年仅为3万亿美元。微软的新一代生成式人工智能解决方案Security Copilot，结合公司大规模数据优势和端到端安全性，全部建立在“零信任”原则之上，形成了一种保护的良性循环，改变了数字威胁格局的不对称性，并在这个安全新时代中支持安全团队。

网络安全是团队间共同的责任，然而许多团队并不共享相同的工具或数据，他们通常也不相互合作。为了使所有角色都能够防范高级安全风险并提高运营效率，Security Copilot将Microsoft Defender、Microsoft Defender云端版、Microsoft Sentinel、Microsoft Intune、Microsoft Entra和Microsoft Purview的信号汇集到一个统一的视图中。

数据安全和合规团队需要审查分散在多个安全工具中的各种复杂和多样的警报，每个警报都包含丰富的内容。为了使数据保护更快速、更有效、更简单，Security Copilot现已嵌入到Microsoft Purview中，在Microsoft Purview数据丢失预防、Microsoft Purview内部风险管理、Microsoft Purview电子发现和Microsoft Purview通信合规工作流程中提供摘要功能，对繁多和多样的数据进行梳理，加速调查和响应时间，并让各级分析人员能够利用人工智能迅速完成复杂任务。此外，电子发现提供人工智能翻译功能，支持使用自然语言定义搜索查询，加快搜索迭代速度，消除使用关键字查询语言的需求。这些新的数据安全功能现在也可以在Microsoft Security Copilot独立体验中使用。

目前，新的攻击技术正在尝试规避多因素身份认证。为了加强对身份泄露的防御，内置于Microsoft Entra中的Security Copilot可以协助调查身份风险，并帮助解决日常的身份任务，比如为什么需要进行多因子身份认证或者为什么某用户的风险等级提高。IT 管理员可以立即获得每个风险身份的风险摘要、解决措施和建议指导，只需使用自然语言。一个概括报告即可快速了解登录问题的根源及相关信息和背景。此外，在微软 Entra ID Governance 中，管理员可以使用 Security Copilot 指导创建生命周期工作流程，简化创建和发布用户凭据和访问权限的流程。这些新功能可以对用户和群组、登录日志以及高风险用户提供摘要，现在也可在 Microsoft Security Copilot 独立体验中使用。

对于网络安全团队来说，保持强大的云安全姿态是一项挑战。这是因为云原生开发和多云环境增长导致应用程序生命周期中风险和漏洞只能分散可见。现在，Security Copilot已经内置于Microsoft Defender云端版中，安全管理员能够更快速地通过导向式风险探索来识别资源中的关键问题，对风险进行摘要，并加入关键漏洞、敏感数据和横向移动等背景信息。为了更有效地解决发现的关键风险，管理员可以在Microsoft Defender云端版中使用 Security Copilot 来引导风险解决工作，并通过生成推荐摘要、逐步的解决措施和偏好语言的脚本来简化建议的实施，直接将解决措施行动委托给关键资源用户。这些新的云安全功能现在也可在 Microsoft Security Copilot 独立体验中使用。

对于安全团队来说，追踪资产及其漏洞是一项非常繁重的任务，因为他们需要时间、协调和研究来了解哪些资产对组织构成风险。Defender for EASM的新功能现已在Security Copilot独立体验中可用。无论资产位于何处，新功能可让安全团队快速了解其外部攻击面，得到高度可信的结果。这些功能为安全运营团队提供了其外部攻击面的快速概览，帮助漏洞管理人员了解他们的外部攻击面是否受特定常见漏洞和暴露（CVE）的影响，并提供高风险和关键CVE的可视性，帮助团队了解这些CVE在其资产中的普遍程度，以便优先处理。