Microsoft Copilot for Security – Oltre il cloud per rispondere in modo rapido a incidenti di sicurezza

Il 1/4/2024 è una data che tutti aspettavamo per l’uscita di una delle funzionalità a mio avviso più rivoluzionare degli ultimi tempi.

Microsoft Copilot for Security (Copilot for Security) è una soluzione di sicurezza generativa basata sull’intelligenza artificiale che consente di aumentare l’efficienza e la capacità dei reparti di Cybersecurity (SOC) per migliorare i risultati di sicurezza e di velocità in risposta ad Incident di Sicurezza Informatica.

Copilot for Security è pronto ad aiutare i professionisti del settore negli scenari end-to-end come ad esempio:

  • Risposta ad Incident di Sicurezza
  • Ricerca di Minacce attiva all’interno dell’organizzazione
  • Raccolta di Informazioni
  • Gestione della Security Posture delle aziende

Copilot for Security è quindi uno strumento orientato fortemente all’integrazione con tutti gli scenari Microsoft Security presenti e si integra inoltre con prodotto come Microsoft Defender XDR, Microsoft Sentinel, Microsoft Intune e altri servizi di terze parti come, ad esempio, Service Now per la generazione di un ticket in modo automatico.

La soluzione sfrutta tutta la “potenza” dell’architettura OpenAI per generare una risposta ad una richiesta di un utente utilizzando plug-in specifici, fonte di dati e Inteligence di Sicurezza a livello globale, per approfondimenti inerenti ai plugin vi rimando al link ufficiale Microsoft Manage plugins in Microsoft Copilot for Security | Microsoft Learn

Vi riporto anche la spiegazione del funzionamento di Copilot for Security che potete trovare in modo dettagliato nella schermata riporta di seguito:

  • Le richieste dell’utente che provengono da Workload di Security vengono inviate a Copilot for Security
  • Copilot for Security le pre-elabora l’input con un approccio definito “grounding” che migliora la richiesta per aiutare l’utente ad ottenere risposte più esaustive
  • Copilot for Security recepisce la risposta elaborata ed esegue un’analisi in base ai Plugin che ha a sua disposizione per ottenere informazioni contestualizzate
  • Copilot for Security restituisce quindi all’utente una risposta che può essere valutata o esaminata

Copilot for Security, inoltre, orchestra in modo iterativo in quanto i risultati prodotti sono basati proprio sui dati dell’organizzazione.

Figura 1: Schema di funzionamento di Copilot for Security

In questa articolo vi darò evidenza dell’onboarding e quindi dell’attivazione di Copilot for Security e di come rispondere ad un incidente di sicurezza che avviene all’interno di un tenant.

Licensing

La cosa fondamentale per ogni servizio che vorremmo adottare è quello di capire come si evolve il discorso delle licenze.

In questo caso Copilot for Security si basa su una Subscription Azure quindi il suo costo è basato sul consumo e quindi sul suo utilizzo di cui vi riporto la tabella ed il link ufficiale Microsoft:

Microsoft Copilot for Security – Pricing | Microsoft Azure, Microsoft Copilot for Security – Pricing | Microsoft

Figura 2: Costo Copilot for Security

Il prezzo della SKU indicata è calcolato ogni ora, ma la fatturazione avviene mensilmente.

Scenario

Per darvi evidenza del funzionamento di Copilot for Security vedrete un tenant di Demo con all’interno Microsoft Sentinel in cui vi sono “agganciati” i connettore della componente di Microsoft 365 Defender:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Office 365
  • Microsoft Defender XDR
  • Audit Log
  • Azure SignIn Logs

Questo per avere a disposizione e quindi far analizzare a Copilot più log possibili in caso di incident.

Simulerò inoltre un incident di sicurezza all’interno di Microsoft Sentinel eseguendo una login da Browser Tor per simulare un potenziale attacco da un Proxy Anonimo e l’esecuzione di un Malware all’interno del dispositivo. Utilizzerò inoltre una VM in Microsoft Azure con Windows 11 per simulare il PC di un utente che risulta anche agganciato a Microsoft Intune.

Figura 3: Macchina Windows 11 con installatoBrowser tor per simulare attacco

Figura 4: Workspace Microsoft Sentinel utilizzato per la log collection

Figura 5: Connettori Attivati in Microsoft Sentinel per la raccolta dei Log

Figura 6: Device W11DEMO gestito da Microsoft Intune

Svolgimento

Come primo passaggio dovrete abilitare le funzionalità di Copilot for Security, ma dovrete avere a disposizione una Subscription Azure ed un Resource Group in cui inserire l’istanza di Copilot. Nel mio caso ho entrambi:

  • Visual Studio Enterprise Subscription – MPN: Sottoscrizione Azure a mia disposizione
  • RG-VirtualMachines: Resource Group che ospiterà l’istanza di Copilot

Vediamo quindi come creare l’istanza di Copilot for Security, recatevi all’indirizzo Microsoft Security Copilot preview e loggatevi con credenziali di Global Admin, l’account in questione dovrà necessariamente avere i permessi per poter creare risorse all’interno della Subscription Azure (nel mio caso è Owner)

Figura 7: Inserimento username di un global admin e owner della subscription Azure in cui inseriremo copilot security

Figura 8: Inserimento password di un global admin e owner della subscription Azure in cui inseriremo copilot security

Ora dovrete selezionare le seguenti informazioni necessarie per creare l’istanza di Security Copilot:

  • Sottoscrizione Azure: Selezionare la sottoscrizione Azure in cui inserire l’istanza di Security Copilot, nel mio caso “Visual Studio Enterprise Subscription – MPN”
  • Resource Group: Gruppo di risorse in cui inserire l’istanza di Security Copilot, eventualmente se non presente potete crearlo in modo guidato cliccando su “Crearne uno nuovo”
  • Nome di Copilot: Nome dell’istanza di Security Copilot, nel mio caso “CopilotIstance”
  • Posizione dell’instanza: Area Geografica in cui inserire l’istanza
  • Region Azure: Region Azure in cui inserire l’istanza, nel mio caso ho scelto “West Europe”
  • Capacità di Calcolo: Microsoft per prestazioni ottimali consiglia di avere un minimo di 3 unità di calcolo e per avere le performance ottimali, io ho scelto per comodità solo n°1 istanza, naturalmente più istante comportano più costi

Figura 9: Creazione istanza di Security Copilot all’interno della Subscription Azure

Figura 10: Selezione dell’istanza appena creata

Figura 11: Istanza Security Copilot creata correttamente

Recandovi all’interno del portale di Microsoft Azure, noterete la creazione dell’istanza di Security Copilot

Figura 12: Istanza Security Copilot all’interno del portale di Microsoft Azure

Ora che avrete creato e rispettato tutti i requisiti, all’interno del portale di Security Copilot avrete a disposizione una serie di azioni utili ad aiutarvi nella gestione degli incident di sicurezza, queste azioni sono chiamata “PromptBook”

Figura 13: Portale Security Copilot “PromptBook”

Ora eseguiremo l’accesso da Browser Tor per simulare un evento di “Login from Anonymous IP”

Figura 14: Apertura di Browser Tor per simulare attacco da Proxy Anonimo

Figura 15: Connessione a rete Tor per la simulazione dell’attacco

Figura 16: Eseguito collegamento a Rete Tor in modo corretto

Figura 17: Login con utente a portale Microsoft da un nodo di rete Tor

Figura 18: Login da Tor Browser con utente Aziendale

Figura 19: Login da Nodo Tor con utente effettuato correttamente

Giusto per darvi evidenza dell’alert o, meglio, l’incident entriamo all’interno del portale di Microsoft Defender e di Azure per vedere come il sistema di sicurezza Microsoft risponde a questa tipologia di evento imprevisto

Figura 20: Incident di Accesso da Proxy Anonimo lato portale Defender

Figura 21: Incident di Accesso da Proxy Anonimo lato Microsoft Sentinel

Ora che è stato generato l’incident il personale SOC dovrebbe indagare su questo Incident e capire effettivamente cosa sia successo, analizzando i log l’eventuale richiesta di MFA i dispositivi dell’utente che ha eseguito l’accesso, “perdendo” tempo prezioso per l’analisi, proprio in questo caso Microsoft Copilot Security può aiutarci a rispondere in modo rapido e veloce, vediamo quindi gli step utili al personale di Security attraverso il nuovo portale di Security Copilot.

Loggarsi quindi al portale Microsoft Security Copilot preview

Figura 22: Selezionare PomptBook corretto alla gestione di un incident

Figura 23: Selezionare Microsoft Sentinel Incident Investigation

Viene richiesto l’INCIDENT ID di Microsoft Sentinel da Analizzare

Figura 24: Richiesta Incident ID di Sentinel da analizzare

A questo punto dovete cercare l’incident ID all’interno di Microsoft Sentinel

Figura 25: Numero Incident in Microsoft Sentinel

Figura 26: Inserimento Incident ID all’interno di Security Copilot

Figura 27: Security Copilot analizza l’incident

Figura 28: Risposta di Security Copilot all’incident sfruttanto i plug-in a sua disposizione

Figura 29: Risposta di Security Copilot all’incident sfruttanto i plug-in a sua disposizione

Figura 30: Summary prodotto da Security Copilot rispetto all’incident di Sicurezza

Ora possiamo anche chiedere di effettuare delle azioni di remediation a Security Copilot, direttamente dalla chat “How can Copilot for Security help ?” nel mio caso voglio avere una mail che riepiloga nel dettaglio l’incident

Figura 31: Richiesta di Bloccare Account a Security Copilot

Figura 32: Valutazione da parte di Security Copilot dell’invio della mail con i dettagli dell’incident

Figura 33: Corpo Email Composto da Security Copilot rispetto all’incident generato

Per verificare inoltre quali Plugin sono disponibili ed utilizzabili da Security Copilot potete cliccare sull’icona dei plugin direttamente dalla chat

Figura 34: Apertura Plugin

Figura 35: Plugin Security Copilot Disponibili ed utilizzabili per l’analisi

Come potete dare accesso a Copilot alle risorse che gestiscono la sicurezza all’interno della vostra azienda?

Direttamente dall’interfaccia di Security Copilot potete concedere accessi come Contributor o Owner

Figura 36: Concedere accessi a Copilot a membri dell’organizzazione

Figura 37: Concesso a Mario Rossi il ruolo di Contributor in Security Copilot

Figura 38: Utente Mario Rossi con Accesso a Copilot come Contributor

Conclusioni

Come avete potuto notare lo strumento di Security Copilot è veramente utile per analizzare nel dettaglio gli incident di sicurezza che potrebbero avvenire all’interno delle organizzazioni.

Uno strumento dotato di diversi connettori che recepiscono dati da tutti i Workload impattati dall’incident permettono in modo semplice, veloce ed intuitivo di avere una risposta a qualsiasi evento imprevisto si possa presentare, questo riduce il tempo in cui i potenziali attaccanti rimangono all’interno dei sistemi informatici aziendali ed inoltre permette di generare in modo del tutto automatico una mail dettagliata dell’incident, che possiamo utilizzare per descrivere a chi di dovere cosa è successo e cosa è stato fatto.

Il servizio è in costante aggiornamento e sicuramente verranno inseriti ulteriori che permetteranno di avere informazioni ancora più precise per rispondere in modo proattivo ad incident critici di sicurezza.

Vi riporto anche il link ufficiale di Learn per approfondire l’argomento Microsoft Copilot for Security documentation | Microsoft Learn