/cdn.vox-cdn.com/uploads/chorus_asset/file/23951502/VRG_Illo_STK172_L_Normand_JackDorsey_Neutral.jpg)
Bien que Microsoft n’ait introduit que récemment Copilot, un chatbot basé sur OpenAI pour Office, Microsoft a rapidement suivi cela avec Security Copilot.
Comme son homologue Office, Security Copilot est avant tout un chatbot. Cependant, alors que la version initiale de Copilot se concentre sur Office, Security Copilot concerne la sécurité de l’entreprise. Security Copilot ingère des données provenant de divers outils de sécurité et vise à aider les professionnels de la sécurité à comprendre ce qui se passe dans un environnement d’entreprise.
Vous pouvez utiliser l’interface de chat simple de Security Copilot pour poser des questions telles que :
- Quelles sont les menaces courantes ?
- Comment puis-je améliorer ma situation de sécurité ?
- Quelles alertes sont le plus déclenchées ?
- Quels sont les incidents de sécurité non résolus ?
- Pouvez-vous me donner un résumé de la vulnérabilité dans Log4J ?
Bien qu’il soit utile d’utiliser des requêtes en langage naturel pour analyser la sécurité de votre organisation, Security Copilot fournit des fonctionnalités supplémentaires qui peuvent être plus utiles.
La fonctionnalité d’importation du copilote de sécurité simplifie l’identification des incidents
L’une de ces fonctionnalités est la possibilité d’importer des données. Bien que l’interface de Security Copilot soit simplement une zone de texte, vous pouvez faire glisser et déposer des fichiers dans la zone de texte, permettant à Security Copilot d’analyser le fichier.
Soit dit en passant, vous n’êtes pas limité à travailler uniquement avec des fichiers. Vous pouvez également fournir à Security Copilot des URL et des extraits de code.
Pour vous donner un exemple plus concret de l’utilité de cette fonctionnalité, considérez La dernière démo de Microsoft. Dans la démo, le présentateur a extrait un fichier journal basé sur JSON dans l’interface Security Copilot, puis a demandé si le fichier contenait une activité malveillante liée à un événement de connexion suspect détecté par Microsoft Sentinel.
Vous pouvez voir une capture d’écran de la démo dans la figure 1.
Figure 1. Vous pouvez faire glisser et déposer des fichiers vers Security Copilot.
Certaines personnes peuvent penser que cette fonction n’est rien de plus qu’une analyse de journal. Cependant, lorsque vous analysez un journal de sécurité pour identifier un incident, vous devez généralement savoir ce qu’il faut rechercher (ID d’événements associés, etc.). Security Copilot fait en sorte que vous n’ayez pas besoin d’avoir une compréhension détaillée des événements dans le fichier journal. Vous pouvez simplement indiquer à Security Copilot ce qu’il faut rechercher, puis il sélectionnera les éléments pertinents dans le fichier.
Bien que Microsoft ait utilisé un fichier journal dans sa démo Security Copilot, il est supposé que vous pouvez poser des questions à Security Copilot sur divers types de fichiers.
Comment les quickbooks aident à automatiser la réponse aux incidents
Une autre caractéristique intéressante est la réservation instantanée. Un spotbook est essentiellement un ensemble d’étapes ou d’automatisations qui peuvent être effectuées à partir de Security Copilot.
Par exemple, dans la démo Microsoft référencée ci-dessus, un livre consacré à l’ingénierie inverse d’un script PowerShell malveillant a été créé. Étant donné que les étapes requises sont enregistrées dans un bloc-notes d’invite, Microsoft peut mettre cette fonctionnalité à la disposition de tous, même s’ils n’ont aucune expérience du code d’ingénierie inverse.
Dans la figure 2, vous pouvez voir le livre instantané présenté dans la démo. L’Instant Book a été conçu pour désosser le script, expliquer les capacités du script et produire un visuel qui expliquerait l’intégralité de l’incident entourant le script.
Figure 2. Cet écrivain instantané désosse le script et produit une image visuelle qui identifie l’incident entourant le script.
La figure 3 montre la première étape qui est effectuée lors de la mise en œuvre de ce livre instantané. Comme vous pouvez le voir, Security Copilot a analysé le script et a découvert qu’il est conçu pour télécharger un fichier exécutable appelé DoorBreach.exe.
Figure 3. Security Copilot a analysé le script en question.
Ensuite, ce livre instantané génère un organigramme montrant la progression complète de l’exploit. Il montre quel utilisateur a déclenché l’exploit et d’où. La figure 4 montre un utilisateur nommé Devon Torres qui travaillait depuis Workstation8, utilisait OneNote et ouvrait un fichier nommé SalesLeads(1).onepkg. Ce package a lancé WSScript.exe, qui à son tour a lancé PowerShell et a appelé le script malveillant. Ce script a ensuite lancé un fichier exécutable qui a établi une connexion à un serveur distant et un contrôleur de domaine.
Figure 4. Le copilote de sécurité a créé un visuel de l’accident.
Étant donné que Security Copilot est nouveau, il est difficile de savoir avec certitude dans quelle mesure il fonctionnera dans le monde réel. Cependant, une démo récente du Security Copilot de Microsoft semble très prometteuse.
A propos de l’auteur
Brien Posey est un auteur de technologie à succès, conférencier et 21x Microsoft MVP. En plus de son travail continu dans le domaine des technologies de l’information, Busey a suivi une formation d’astronaute commercial en vue de voler dans le cadre d’une mission d’étude des nuages polaires atmosphériques depuis l’espace.
« Évangéliste amateur de zombies. Créateur incurable. Fier pionnier de Twitter. Amateur de nourriture. Internetaholic. Introverti hardcore. »
More Stories
Bluesky confirme que Jack Dorsey n’est plus membre de son conseil d’administration
Les plus grandes mises à niveau de l’IA d’iOS 18 sont présentées dans un nouveau rapport complet
Akuma de Tokido : premières impressions du jeu Après avoir essayé le prochain DLC de Street Fighter 6 en avance, je ne sais pas si le démon est tout-puissant