• Cloud, Guide, Microsoft 365, Sicurezza
• 9 Aprile 2024

Microsoft Copilot for Security è una soluzione di sicurezza potenziata dall’intelligenza artificiale generativa, creata per amplificare l’efficienza e le capacità dei difensori, migliorando così i risultati in termini di sicurezza con velocità e scala automatizzate.

Questa soluzione vi assiste utilizzando un linguaggio naturale e aiuta a supportare i professionisti della sicurezza in scenari complessi come la risposta agli incidenti, la ricerca di minacce, la raccolta di intelligence e la gestione della postura di sicurezza.

Pensato per essere integrato facilmente, Microsoft Copilot for Security funziona sia come esperienza a sé stante sia in integrazione con i prodotti del portfolio di sicurezza di Microsoft. Si collega con prodotti come Microsoft Defender XDR, Microsoft Sentinel, Microsoft Intune e anche con servizi di terze parti come ServiceNow. Per maggiori informazioni potete visualizzare la pagina Microsoft Copilot for Security experiences | Microsoft Learn

La soluzione sfrutta tutta la potenza dell’architettura OpenAI per generare risposte alle domande degli utenti attraverso l’uso di plugin specifici per la sicurezza, che includono informazioni specifiche dell’organizzazione, fonti autorevoli e intelligence sulle minacce globali. Utilizzando i plugin come fonti di dati, avete una visione più ampia delle minacce, ottenete più informazioni contestualizzate e avete l’opportunità di estendere le funzionalità della soluzione.

Integrazione con Microsoft Entra

Microsoft Copilot for Security, integrato con Microsoft Entra, rappresenta un’avanzata piattaforma che fonde l’intelligenza artificiale (AI) e l’esperienza umana per aiutare amministratori e team di sicurezza a rispondere agli attacchi in modo più rapido ed efficace. Copilot for Security è integrato in Microsoft Entra, permettendo di indagare e risolvere i rischi legati all’identità, valutare identità e accessi con intelligenza guidata dall’AI e completare compiti complessi in breve tempo. Grazie a questa integrazione, è possibile esplorare accessi e utenti a rischio, ottenendo intuizioni contestualizzate su come risolvere incidenti e proteggere gli account in linguaggio naturale​​.

L’integrazione porta con sé nuove competenze di Microsoft Entra in Copilot for Security, inclusi Dettagli Utente, Dettagli Gruppo, Log di Accesso, Log di Audit e Log Diagnostici. Queste competenze forniscono contesto e approfondimenti sugli incidenti di sicurezza e aiutano a risolvere rischi legati all’identità e problemi di accesso, accelerando così la protezione a livello di macchina​.

Microsoft Entra, parte della famiglia di soluzioni per l’identità e l’accesso di rete multi-cloud di Microsoft, punta a proteggere qualsiasi identità e a garantire l’accesso sicuro a qualsiasi risorsa. Offre un unico luogo per la sicurezza delle identità e l’accesso, semplificando l’esperienza utente attraverso l’accesso semplificato a qualsiasi risorsa, la gestione self-service degli utenti e i workflow automatici del ciclo di vita​.

L’integrazione di Copilot for Security con Microsoft Entra evidenzia il costante impegno di Microsoft nel fornire soluzioni innovative che sfruttano l’intelligenza artificiale per migliorare la sicurezza e l’efficienza. Questo rappresenta un significativo passo avanti nel potenziare le organizzazioni con strumenti di intelligenza artificiale generativa, preparandole meglio a fronteggiare le sfide legate alla sicurezza nell’era digitale.

Figura 1: Microsoft Copilot for Security

Abilitazione di Microsoft Copilot for Security

Per iniziare a utilizzare Microsoft Copilot for Security è necessario soddisfare alcuni prerequisiti essenziali:

• Sottoscrizione Azure: Per acquistare unità di calcolo di sicurezza è richiesta una sottoscrizione Azure. Le unità di calcolo di sicurezza sono necessarie per garantire prestazioni affidabili e costanti di Microsoft Copilot per la Sicurezza. Queste unità vengono vendute in un modello di capacità prenotata e vengono fatturate su base oraria. Bisogna essere Owner.
• Unità di calcolo di sicurezza (SCU): Sono le unità di risorse richieste per il funzionamento affidabile e consistente di Microsoft Copilot for Security. È possibile provvedere SCU e modificarne il numero in qualsiasi momento, con la fatturazione calcolata su base oraria e un minimo di un’ora.
• Capacità: Nel contesto di Microsoft Copilot for Security la capacità è una risorsa Azure che contiene SCU. Queste SCU vengono prenotate per Microsoft Copilot for Security e possono essere gestite facilmente attraverso il portale Azure o il portale Microsoft Copilot for Security.

Per l’Onboarding a Microsoft Copilot for Security il processo si articola in due fasi principali:

1. Provisioning della capacità: Questo può essere effettuato direttamente all’interno di Microsoft Copilot for Security o attraverso Azure. È necessario acquistare un minimo di 1 e un massimo di 100 SCU, con 3 unità raccomandate per iniziare.
2. Impostazione dell’ambiente predefinito: Per completare questa fase è richiesto il ruolo di Amministratore Globale o Amministratore della Sicurezza. Questo passaggio include l’associazione della capacità all’ambiente Microsoft Copilot for Security, la selezione delle opzioni di condivisione dei dati e la conferma dei ruoli predefiniti che possono accedere a Microsoft Copilot for Security.

Collegatevi al portale https://securitycopilot.microsoft.com/ e inserite le informazioni richieste, come mostrato nelle figure sotto:

Figura 2: Connessione al portale Microsoft Copilot for Security

Figura 3: Configurazione del provisioning delle capacità

Figura 4: Creazione delle risorse Azure in corso

Figura 5: Creazione delle risorse Azure per Microsoft Copilot for Security completata

Figura 6: Security Copilot privacy and data security

Figura 7: Conferma dei ruoli predefiniti che possono accedere a Microsoft Copilot for Security

Figura 8: Attivazione di Microsoft Copilot for Security completata

Una volta che avrete completato l’attivazione, potrete cominciare a lavorare con Microsoft Copilot for Security.

Figura 9: Schermata iniziale di Microsoft Copilot for Security

Dal portale di Azure sarà possibile visualizzare la Microsoft Copilot for Security compute capacity creata ed eventualmente modificarla. Questa operazione di può fare anche dal portale di Copilot for Security.

Figura 10: Gestione della Microsoft Copilot for Security compute capacity nel portale di Microsoft Azure

Copilot in Microsoft Entra

Dal portale Microsoft Copilot for Security possiamo visualizzare quali plugin sono attivati ed eventualmente abilitarli/disabilitarli.

I plugin di Microsoft Copilot for Security sono strumenti che consentono di estendere le capacità di Microsoft Copilot for Security, consentendo agli sviluppatori e agli utenti di scrivere plugin che possono essere invocati per eseguire compiti specializzati. Questi plugin possono provenire sia da servizi Microsoft che da altri servizi e siti web comunemente utilizzati, offrendo così una vasta gamma di funzionalità aggiuntive per migliorare le operazioni di sicurezza.

Microsoft Copilot for Security include molti plugin preinstallati per servizi di sicurezza Microsoft e altri servizi esterni comunemente utilizzati. Gli utenti hanno anche l’opzione di aggiungere i propri plugin personalizzati per estendere ulteriormente le capacità di default.

Come si può vedere dalla figura sotto, il plugin per Microsoft Entra è abilitato di default.

Figura 11: Il plugin per Microsoft Intune è abilitato di default

Cosa posso fare con Microsoft Copilot in Microsoft Entra?

Con Microsoft Copilot in Microsoft Entra potete sfruttare una serie di funzionalità avanzate che combinano l’intelligenza artificiale con il know-how umano per migliorare la sicurezza e l’efficacia nella gestione delle identità e degli accessi:

• Rispondere agli attacchi in modo più rapido ed efficace: Copilot for Security integra l’AI e l’esperienza umana per aiutarti a rispondere agli attacchi in modo efficiente, consentendovi di indagare e risolvere i rischi legati all’identità e di valutare identità e accessi con intelligenza AI-driven​.
• Esplorare accessi e utenti a rischio: Potete esaminare i log di accesso e identificare gli utenti a rischio, ricevendo intuizioni contestualizzate su come risolvere incidenti e proteggere gli account, il tutto espresso in linguaggio naturale​​.
• Utilizzare competenze di Microsoft Entra in Copilot for Security: Copilot for Security introduce competenze specifiche legate a Microsoft Entra, come Dettagli Utente, Dettagli Gruppo, Log di Accesso, Log di Audit e Log Diagnostici, per fornire contesto e approfondimenti sugli incidenti di sicurezza e aiutare a risolvere rischi legati all’identità e problemi di accesso​​.
• Velocizzare la protezione grazie alla velocità della macchina: Grazie all’integrazione di queste competenze, Copilot for Security consente di accelerare la risoluzione dei rischi legati all’identità e dei problemi di accesso, migliorando la capacità di protezione in tempi rapidi​.
• Migliorare l’esperienza utente e ridurre l’attrito IT: Microsoft Entra mira a semplificare l’accesso alle risorse, migliorando l’esperienza degli utenti ibridi attraverso l’accesso semplificato, la gestione self-service degli utenti, e i workflow automatici del ciclo di vita​.

Queste funzionalità mostrano come Microsoft Copilot in Microsoft Entra possa trasformare la gestione delle identità e degli accessi, sfruttando l’intelligenza artificiale per offrire una protezione avanzata e una gestione più efficiente delle risorse e degli utenti.

A titolo di esempio vi propongo alcune prove che ho effettuato.

Summarize a user’s risk level: riepilogare il livello di rischio di un utente.

Microsoft Entra ID Protection sfrutta le capacità di Copilot for Security per sintetizzare il grado di pericolo associato a un utente, offrendo spunti pertinenti all’incidente specifico e suggerendo azioni correttive immediate. L’esame dei pericoli legati all’identità rappresenta un elemento cruciale nella protezione organizzativa. Grazie a Copilot per Microsoft Entra, è possibile accorciare i tempi necessari per affrontare questi rischi, mettendo a disposizione degli amministratori di sistema e degli specialisti del SOC le informazioni necessarie per valutare e neutralizzare le minacce basate sull’identità. Il processo di sommario degli utenti a rischio consente a chi interviene di accedere velocemente ai dati più urgenti, agevolando così le operazioni di verifica.

Figura 12: Utente a rischio in Microsoft Entra

Figura 13: Summarize a user’s risk level: riepilogare il livello di rischio di un utente

Ho continuato l’investigazione dal portale di Microsoft Copilot for Security e ho chiesto Quali sono i dettagli del livello di rischio, dello stato e del rischio per l’utente, ricevendo la risposta mostrata nella figura sotto:

Figura 14: Dettagli sull’utente oggetto dell’investigazione

Ho proseguito chiedendo Quali sono gli accessi a rischio per l’utente, ricevendo la risposta mostrata nella figura sotto:

Figura 15: Accessi a rischio per l’utente

Ho voluto sapere anche a quali gruppi appartenesse l’utente. Ho usato il prompt Dimmi a quali gruppi appartiene questo utente. Mostrameli come tabella, ricevendo la risposta mostrata nella figura sotto:

Figura 16: Gruppi a cui appartiene l’utente

Ho cercato anche di bloccare l’utente utilizzando il prompt Blocca l’accesso per questo utente, ma non ci sono riuscito e ho ricevuto la risposta mostrata nella figura sotto:

Figura 17: Tentativo di blocco dell’utente non riuscito

Mi sono incuriosito quindi sulle azioni che Microsoft Copilot for Security può effettuare sugli utenti. Il prompt utilizzato è stato Che attività sei capace di fare sugli utenti? Mostramele come tabella, ricevendo la risposta mostrata nella figura sotto:

Figura 18: Attività che Microsoft Copilot for Security può effettuare sugli utenti

Visto che il prompt chiedeva in output una tabella, questa è anche esportabile in Excel con un semplice tasto presente. Non male!

Ho continuato ad investigare sulle attività che Copilot for Security può effettuare sui gruppi, digitando il prompt Che attività sei capace di fare sui gruppi? Mostramele come tabella, ricevendo la risposta mostrata nella figura sotto:

Figura 19: Attività che Microsoft Copilot for Security può effettuare sui gruppi

Ho chiesto a Copilot for Security Ci sono policy di accesso condizionale che sono state violate oggi?
Sapere se ci sono state violazioni delle policy di accesso condizionale è importante perché indica possibili tentativi di accesso non autorizzato a risorse protette, mettendo a rischio la sicurezza dei dati e potenzialmente violando normative sulla protezione delle informazioni. Questa consapevolezza consente di agire tempestivamente per mitigare i rischi e mantenere l’integrità e la sicurezza del sistema informatico.

Purtroppo, non ho ottenuto l’informazione richiesta perché Copilot for Security non è ancora in grado di analizzare le policy e le eventuali violazioni.

Figura 20: Richiesta sulla violazione delle policy di accesso condizionale

Monitoraggio dell’utilizzo e del consumo di risorse da parte di Copilot for Security

Microsoft Copilot for Security offre un cruscotto di monitoraggio utilizzo che permette ai proprietari di visualizzare il consumo delle unità di calcolo di sicurezza (SCU) nel tempo. Questo strumento avvisa quando l’uso si avvicina al limite, consentendo di prevenire interruzioni contattando l’amministratore di Azure per aumentare le SCU o limitare i prompt. Se il limite di SCU viene superato, gli analisti ricevono un messaggio di errore e non possono inviare nuovi prompt finché non viene aggiunta ulteriore capacità​.

Figura 21: Usage monitoring di Microsoft Copilot for Security

Conclusioni

L’integrazione di Microsoft Copilot for Security in Microsoft Entra segna un importante passo avanti nella gestione della sicurezza e dell’identità digitale. Attraverso l’utilizzo dell’intelligenza artificiale, Copilot for Security non solo migliora la capacità degli amministratori di rispondere con rapidità ed efficacia agli attacchi, ma arricchisce anche il processo con un contesto più ampio e dettagliato, facilitando la risoluzione degli incidenti e la protezione degli account. Con capacità come la valutazione dei rischi d’identità e l’analisi approfondita degli accessi e dei log, questo strumento si rivela cruciale per le organizzazioni che cercano di mantenere alte le loro difese in un panorama di minacce in continua evoluzione.

L’efficacia di Copilot for Security, dimostrata da studi che evidenziano un miglioramento significativo nei tempi di risposta e nella precisione delle analisi, insieme alla sua flessibilità di implementazione grazie a un modello di licenza pay-as-you-go, lo rende una soluzione accessibile e potente per organizzazioni di ogni dimensione. Inoltre, il supporto multilingua e l’integrazione con una vasta gamma di prodotti e servizi Microsoft ne amplificano il valore, rendendolo uno strumento indispensabile non solo per gli specialisti della sicurezza, ma anche per gli amministratori IT e i responsabili della conformità.