Après 5 mois de test, Copilot for Security prend son envol le 1er avril prochain. Collectant les données de plusieurs produits de sécurité de Microsoft, l’assistant à base d’IA générative va délivrer des explications et des suggestions de solutions. Il pourra par exemple générer des informations et des conseils de remédiation dans Defender. A noter, que l’assistant apportera également des informations provenant d’autres fournisseurs.

Des avantages dans divers domaines

Dans le cadre de la preview, Microsoft a pu identifier quatre domaines où l’assistant peut s’avérer très intéressant pour les utilisateurs, à savoir le résumé des incidents, l'analyse d'impact, la rétro-ingénierie des scripts et la réponse aux incidents étape par étape. Copilot for Security fournit des résumés d'incidents en utilisant l'IA générative pour transformer des alertes complexes en résumés clairs et exploitables. Il est aussi capable d’évaluer l'impact potentiel des incidents de sécurité, en offrant un aperçu des systèmes et des données affectés afin de prioriser les efforts de réponse. La solution analyse les scripts de ligne de commande complexes et les traduit en langage naturel avec des explications claires sur les actions à entreprendre. De plus, elle extrait et relie les indicateurs trouvés dans le script à leurs entités respectives dans l'environnement de l'utilisateur.

La réponse aux incident n’est pas oubliée avec une aide pas à pas, y compris des instructions pour le triage, l'investigation, l'endiguement et la remédiation. Des liens vers les actions recommandées apportent une réponse plus rapide. L'un des principaux avantages de ces fonctionnalités est qu'elles aident les professionnels débutants à rédiger des requêtes en langage naturel et à obtenir des réponses qu'ils peuvent comprendre. Cela peut s'avérer utile compte tenu de la « pénurie importante et chronique de compétences », comme l'a indiqué Andrew Conway, vice-président de Microsoft chargé du marketing de la sécurité. Selon les données de l’éditeur récoltées pendant la preveiw, avec Copilot, les analystes de sécurité expérimentés ont réagi 22 % plus rapidement et ils ont été 7 % plus précis pour toutes les tâches quand ils utilisaient Copilot. Presque tous, soit 97 %, ont déclaré vouloir utiliser l’outil chaque fois qu'ils auront la même tâche à effectuer.

Une ouverture aux produits et données non-Microsoft

Outre sa disponibilité générale et son accès ouvert à d'autres fournisseurs, Copilot for Security comprend plusieurs fonctionnalités nouvelles comme la création de classeurs personnalisés et la possibilité d'écrire des modules d'extension (plugins). « L'une des caractéristiques, c’est qu'il n’est pas uniquement réservé aux produits et aux données de Microsoft. Il peut raisonner sur n'importe quelle source de données, n'importe quel produit dans l'environnement auquel on peut se connecter », a expliqué Andrew Conway. Copilot for Security propose deux options d'interaction : une expérience autonome, qui fonctionne avec tous les produits de sécurité de Microsoft, et une expérience intégrée directement dans le portail Defender. Une fois en ligne, les clients pourront tirer parti de Defender Threat Intelligence pour découvrir les menaces et les techniques d'attaque, et obtenir des recommandations spécifiques au profil de risque d'un environnement particulier en utilisant le langage naturel.

Microsoft Entra (anciennement Azure Active Directory) a ajouté à Copilot des compétences en matière d'identité, notamment des détails sur les utilisateurs et les groupes, des logs de connexion, d'audit et de diagnostic. Dans Purview, Copilot pourra aider les équipes SOC à identifier les activités risquées des utilisateurs et les données sensibles potentiellement à risque lors d'une enquête sur un incident de sécurité. L’assistant fournit un résumé des alertes dans Microsoft Purview Data Loss Prevention et Insider Risk Management. Il fournit également des résumés contextuels des documents dans Purview Communication Compliance et dans les sets d'examen dans Purview eDiscovery.

Copilot for Security sera disponible en paiement à l’usage avec une tarification flexible basée sur la consommation, tout comme le modèle Azure. La capacité nécessaire, que Microsoft mesure en « unités de calcul », est estimée par le client. La tarification commence à partir de 4$ HT par usage. Le fournisseur recommande un minimum de trois unités de calcul pour démarrer. Le client pourra ajouter de la capacité si le produit signale qu’elle est insuffisante. Et si l’usage diminue, les utilisateurs pourront déprovisionner les unités de calcul inutiles.