Nicola FerriniUtilizzare Microsoft Copilot for Security in Microsoft Intune
Microsoft Copilot for Security è una soluzione di sicurezza potenziata dall’intelligenza artificiale generativa, creata per amplificare l’efficienza e le capacità dei difensori, migliorando così i risultati in termini di sicurezza con velocità e scala automatizzate.
Questa soluzione vi assiste utilizzando un linguaggio naturale e aiuta a supportare i professionisti della sicurezza in scenari complessi come la risposta agli incidenti, la ricerca di minacce, la raccolta di intelligence e la gestione della postura di sicurezza.
Pensato per essere integrato facilmente, Microsoft Copilot for Security funziona sia come esperienza a sé stante sia in integrazione con i prodotti del portfolio di sicurezza di Microsoft. Si collega con prodotti come Microsoft Defender XDR, Microsoft Sentinel, Microsoft Intune e anche con servizi di terze parti come ServiceNow. Per maggiori informazioni potete visualizzare la pagina Microsoft Copilot for Security experiences | Microsoft Learn
La soluzione sfrutta tutta la potenza dell’architettura OpenAI per generare risposte alle domande degli utenti attraverso l’uso di plugin specifici per la sicurezza, che includono informazioni specifiche dell’organizzazione, fonti autorevoli e intelligence sulle minacce globali. Utilizzando i plugin come fonti di dati, avete una visione più ampia delle minacce, ottenete più informazioni contestualizzate e avete l’opportunità di estendere le funzionalità della soluzione.
Integrazione con Microsoft Intune
Microsoft Copilot for Security si integra con Microsoft Intune per offrire un’esperienza avanzata nella gestione della sicurezza e degli endpoint, sfruttando l’intelligenza artificiale per rendere la gestione dei dispositivi e delle politiche più efficiente e sicura.
Attraverso questa integrazione, gli amministratori IT e i professionisti della sicurezza possono avere controllo completo sui dispositivi per una risoluzione dei problemi più efficiente, ottenendo visibilità completa sui dispositivi gestiti da Intune.
Questo facilita l’analisi dei dati e la guida alla risoluzione dei problemi attraverso l’intera gamma di dispositivi. La soluzione semplifica la gestione delle policy con sommari assistiti dall’AI, fornendo riassunti delle impostazioni delle politiche e dell’impatto sulla sicurezza. Ciò consente agli amministratori di comprendere rapidamente scopo e portata delle politiche esistenti. Inoltre, Copilot agisce come una guida basata sulle migliori pratiche per la creazione di policy e di configurazioni, offrendo assistenza immediata sugli effetti di ogni impostazione e sui valori raccomandati basati sulle best practices di Microsoft.
L’introduzione dell’esperienza integrata di Copilot in Intune rappresenta quindi un importante progresso negli scenari di sicurezza e gestione degli endpoint. Cambia il modo in cui gli amministratori IT lavorano, facilitando la creazione e distribuzione semplificate delle policy e riducendo il tempo e la complessità nella ricerca delle variabili necessarie per creare policy di sicurezza e configurazione efficaci e sicure.
Inoltre, Copilot guida alla risoluzione dei problemi basata sui dati, permettendo di localizzare e risolvere rapidamente i problemi relativi alla conformità dei dispositivi, alle problematiche di installazione delle app o agli eventi e alle anomalie di salute, offrendo approfondimenti per comprendere meglio i problemi. Davvero notevole!
Integrazione di Microsoft Copilot for Security con Microsoft Intune
Nel pannello amministrativo di Microsoft Intune è disponibile una sezione dedicata alla preview di Copilot. Come si può vedere dalla figura sotto, è necessario abilitare prima Copilot.
Figura 1: Copilot (preview) nel pannello amministrativo di Microsoft Intune
Abilitazione di Microsoft Copilot for Security
Per iniziare a utilizzare Microsoft Copilot for Security è necessario soddisfare alcuni prerequisiti essenziali:
- Sottoscrizione Azure: Per acquistare unità di calcolo di sicurezza è richiesta una sottoscrizione Azure. Le unità di calcolo di sicurezza sono necessarie per garantire prestazioni affidabili e costanti di Microsoft Copilot per la Sicurezza. Queste unità vengono vendute in un modello di capacità prenotata e vengono fatturate su base oraria.
- Unità di calcolo di sicurezza (SCU): Sono le unità di risorse richieste per il funzionamento affidabile e consistente di Microsoft Copilot for Security. È possibile provvedere SCU e modificarne il numero in qualsiasi momento, con la fatturazione calcolata su base oraria e un minimo di un’ora.
- Capacità: Nel contesto di Microsoft Copilot for Security la capacità è una risorsa Azure che contiene SCU. Queste SCU vengono prenotate per Microsoft Copilot for Security e possono essere gestite facilmente attraverso il portale Azure o il portale Microsoft Copilot for Security.
Per l’Onboarding a Microsoft Copilot for Security il processo si articola in due fasi principali:
- Provisioning della capacità: Questo può essere effettuato direttamente all’interno di Microsoft Copilot for Security o attraverso Azure. È necessario acquistare un minimo di 1 e un massimo di 100 SCU, con 3 unità raccomandate per iniziare.
- Impostazione dell’ambiente predefinito: Per completare questa fase è richiesto il ruolo di Amministratore Globale o Amministratore della Sicurezza. Questo passaggio include l’associazione della capacità all’ambiente Microsoft Copilot for Security, la selezione delle opzioni di condivisione dei dati e la conferma dei ruoli predefiniti che possono accedere a Microsoft Copilot for Security.
Collegatevi al portale https://securitycopilot.microsoft.com/ e inserite le informazioni richieste, come mostrato nelle figure sotto:
Figura 2: Connessione al portale Microsoft Copilot for Security
Figura 3: Configurazione del provisioning delle capacità
Figura 4: Creazione delle risorse Azure in corso
Figura 5: Creazione delle risorse Azure per Microsoft Copilot for Security completata
Figura 6: Security Copilot privacy and data security
Figura 7: Conferma dei ruoli predefiniti che possono accedere a Microsoft Copilot for Security
Figura 8: Attivazione di Microsoft Copilot for Security completata
Una volta che avrete completato l’attivazione, potrete cominciare a lavorare con Microsoft Copilot for Security.
Figura 9: Schermata iniziale di Microsoft Copilot for Security
Dal portale di Azure sarà possibile visualizzare la Microsoft Copilot for Security compute capacity creata ed eventualmente modificarla. Questa operazione di può fare anche dal portale di Copilot for Security.
Figura 10: Gestione della Microsoft Copilot for Security compute capacity nel portale di Microsoft Azure
Copilot in Intune
Dal portale Microsoft Copilot for Security possiamo visualizzare quali plugin sono attivati ed eventualmente abilitarli/disabilitarli.
I plugin di Microsoft Copilot for Security sono strumenti che consentono di estendere le capacità di Microsoft Copilot for Security, consentendo agli sviluppatori e agli utenti di scrivere plugin che possono essere invocati per eseguire compiti specializzati. Questi plugin possono provenire sia da servizi Microsoft che da altri servizi e siti web comunemente utilizzati, offrendo così una vasta gamma di funzionalità aggiuntive per migliorare le operazioni di sicurezza.
Copilot per la Sicurezza include molti plugin preinstallati per servizi di sicurezza Microsoft e altri servizi esterni comunemente utilizzati. Gli utenti hanno anche l’opzione di aggiungere i propri plugin personalizzati per estendere ulteriormente le capacità di default.
Come si può vedere dalla figura sotto, il plugin per Microsoft Intune è abilitato di default.
Figura 11: Il plugin per Microsoft Intune è abilitato di default
Nel portale amministrativo di Microsoft Intune potrete verificare che Microsoft Copilot è abilitato.
Figura 12: Microsoft Copilot è abilitato
Cosa posso fare con Microsoft Copilot in Intune?
Con Microsoft Copilot in Intune gli amministratori IT e i professionisti della sicurezza possono sfruttare l’intelligenza artificiale per gestire più efficacemente la sicurezza e la configurazione dei dispositivi. Questa esperienza integrata in Intune semplifica la creazione e la distribuzione delle politiche di sicurezza, consente di prevenire le configurazioni errate mostrando analisi preventive dei deployment delle politiche ed evidenzia dettagli importanti come i rischi per la sicurezza degli utenti o la produttività.
Inoltre, Microsoft Copilot in Intune facilita l’investigazione e la risoluzione dei problemi legati ai dispositivi, fornendo accesso rapido a dati su enrollment dei dispositivi, check-in e conformità, attraverso prompt in linguaggio naturale. Questo permette di risparmiare tempo nella raccolta di informazioni sui dispositivi e sugli utenti durante le indagini, migliorando così la capacità di risposta agli incidenti di sicurezza. E direi che questo è un enorme passo avanti!
Quindi, ad esempio, in Intune potete:
- Richiedere informazioni dettagliate su dispositivi specifici, come nome del dispositivo, ID e produttore.
- Determinare quando un dispositivo è stato registrato in Intune.
- Identificare l’utente principale di un dispositivo.
- Verificare il tipo di dispositivo e lo stato di conformità.
- Controllare le configurazioni e le policy
- Ottenere informazioni sulle configurazioni e sui singoli parametri
A titolo di esempio vi propongo alcune prove che ho effettuato.
Device Configuration Profiles – Summarize with Copilot: Ho provato a chiedere a Copilot di riassumermi le configurazioni presenti in un profilo di configurazione già esistente.
Figura 13: Device Configuration Profiles – Summarize with Copilot
Setting assistant feature: è possibile chiedere a Copilot il significato di ogni singola impostazione presente nei profili di configurazione. La funzionalità è davvero impressionante e vi permette di ottenere informazioni dettagliate, senza abbandonare il portale.
Figura 14: Setting assistant feature
Ancora più interessante è la possibilità non solo di ottenere informazioni sui singoli settings, ma continuare con l’interazione e ricevere anche delle indicazioni dalla Prompt Guide.
Figura 15: Setting assistant feature e Prompt Guide
Io ho continuato chiedendo Has this setting been configured in any other policies? e Copilot mi ha fornito le indicazioni necessarie ad evitare di commettere errori, magari dovuti a configurazioni duplicate.
Figura 16: Interazione con Copilot ed utilizzo dei prompt suggeriti
Explore with Copilot: Tramite questa funzionalità possiamo ottenere informazioni sul dispositivo. Io ho provato a chiedere quali applicazioni sono distribuite tramite Intune (Managed Apps).
Figura 17: Explore with Copilot – Show apps on this device
Figura 18: Explore with Copilot – Summarize this device
Ovviamente Explore with Copilot non funziona solo con i dispositivi Windows, ma anche con gli altri dispositivi gestiti da Microsoft Intune, come si può vedere dalla figura sotto:
Figura 19: Explore with Copilot – Smartphone
Le funzionalità di Microsoft Copilot for Security in Intune offrono un’ampia gamma di possibilità, dalla gestione delle politiche alla risoluzione dei problemi e alla semplificazione delle indagini sugli incidenti, sfruttando l’intelligenza artificiale per migliorare la postura di sicurezza dei dispositivi gestiti. Questo rappresenta solo una panoramica delle potenzialità; esplorarne l’uso pratico potrebbe rivelare ulteriori benefici e applicazioni per migliorare la gestione e la sicurezza dell’ambiente IT.
Gestione delle sessioni dal portale di Microsoft Copilot for Security
Tutte le operazioni che abbiamo effettuato sono visibili dal portale di Microsoft Copilot for Security. Dal menù potete visualizzare le sessioni (le richieste fatte a Copilot) che avete creato dal portale di Microsoft Intune e continuare ad interagire, magari approfondendo la vostra ricerca.
Figura 20: Elenco delle sessioni effettuate verso Copilot
Figura 21: Particolare di una sessione
Io ho cominciato ad interagire in inglese, ma volendo potete fare direttamente le domande in italiano e continuare le sessioni precedenti in un’altra lingua rispetto a quella con cui avete iniziato la richiesta
Figura 22: Interazione con una sessione e continuazione anche in un’altra lingua
Monitoraggio dell’utilizzo e del consumo di risorse da parte di Copilot for Security
Microsoft Copilot for Security offre un cruscotto di monitoraggio utilizzo che permette ai proprietari di visualizzare il consumo delle unità di calcolo di sicurezza (SCU) nel tempo. Questo strumento avvisa quando l’uso si avvicina al limite, consentendo di prevenire interruzioni contattando l’amministratore di Azure per aumentare le SCU o limitare i prompt. Se il limite di SCU viene superato, gli analisti ricevono un messaggio di errore e non possono inviare nuovi prompt finché non viene aggiunta ulteriore capacità
Figura 23: Usage monitoring di Microsoft Copilot for Security
Conclusioni
Microsoft Copilot for Security rappresenta un’avanzata integrazione dell’intelligenza artificiale nel campo della sicurezza informatica, offrendo agli amministratori IT e ai professionisti della sicurezza uno strumento potente per migliorare le operazioni di sicurezza. Attraverso l’uso di modelli linguistici ampi e l’integrazione con Microsoft Intune e altre applicazioni Microsoft 365, Copilot for Security semplifica la gestione delle politiche di sicurezza, accelera le indagini sugli incidenti e migliora la postura di sicurezza dei dispositivi. Le sue capacità di analisi dei dati e risoluzione dei problemi, tutte potenziate dall’IA, apportano un valore aggiunto significativo all’ecosistema di sicurezza di Microsoft, promettendo un futuro in cui la gestione della sicurezza è più intuitiva, efficace e informata.