Durchstarten mit Microsoft Copilot for Security

In unserem letzten Blogbeitrag zu Microsoft Copilot for Security haben wir eine Übersicht über die Funktionen des KI-Assistenten gegeben. Diesmal geht es nun weniger um die Benefits des Einsatzes, sondern vielmehr darum, wie er in Betrieb zu nehmen ist. Wer also auf den Geschmack gekommen ist, sollte sich anschnallen, denn heute starten wir mit dem Copilot for Security durch.

Aller Anfang ist leicht

Die grundsätzlichen Voraussetzungen, um den KI-Assistenten einzurichten, sind denkbar gering. Es genügt eine Azure-Subscription, die allerdings die meisten Interessierten ohnehin durch ihre Nutzung anderer Microsoft-Technologien oder -Services bereits haben. Dann müssen Nutzerinnen und Nutzer sogenannte Kapazitäten („Capacities“) aufsetzen und schließlich den Microsoft Copilot for Security via Provisionierung aktivieren. Klingt zunächst vielleicht ein wenig kompliziert. Der ganze Prozess ist allerdings – unter anderen dank der intuitiven Web-Oberfläche – innerhalb weniger Minuten erledigt.

Im ersten Schritt geben wir in der Suchleiste des Azure-Dashboards den Begriff „Copilot“ ein. Für gewöhnlich sollte die Search Engine dann bereits den Eintrag „Microsoft Copilot for Security Compute Capacities“ vorschlagen. Mit einem Klick darauf und einem auf „Create“ öffnet sich der Installationsassistent. Wir wählen unsere Subscription aus dem entsprechenden Drop-Down-Menü aus, dann die Ressourcengruppe und die Prompt Evaluation Location. Letztere wird für User aus der DACH-Region Europa sein, es gibt allerdings auch drei Alternativen (US, UK und Australien).

Eine weitere Einstellung, die Nutzerinnen und Nutzer vornehmen können, ist die Wahl der gewünschten SCUs. Das steht für Secure Component Units und stellt sozusagen das Budget an Rechenkapazität für KI-Abfragen dar. Microsoft selbst empfiehlt mit 3 SCUs zu starten, allerdings können erste Tests und ein Kennenlernen des Copilots auch mit dem Minimum von 1 SCU erfolgen. Mit einem weiteren Klick auf „Review + Create“ wird die Kapazität schließlich erstellt und bereit für den Einsatz.

Welche Plug-ins brauche ich?

Das Feintuning der Kapazität findet auf der Webseite des Copilots for Security statt. In diesem Zusammenhang stellt sich auch unmittelbar die Frage nach den notwendigen Plug-ins. Im Idealfall haben Unternehmen die gesamte E5-Suite von Microsoft inklusive Security Compliance Toolkit sowie deren Daten-Governance-Tool Purview und Microsoft Sentinel als SIEM (Security Incident and Event Management)-Plattform im Einsatz und verbinden sie mit dem Copilot for Security. Doch genauso ist es auch denkbar, etwas kleinere Brötchen zu backen und mit dem Microsoft Defender for Endpoints oder dem Microsoft Defender for Office zu starten. 

Sollte das Unternehmen die gesamte E5-Suite nutzen, heißt das allerdings noch nicht, dass auch sämtliche Bestandteile als Plug-in in den Copilot for Security laufen sollten. Das kostet im Zweifel unglaublich viele Rechenressourcen und entsprechend tief müssen sie in die Tasche greifen, denn die SCUs sind nicht billig. Die allgemeine Empfehlung ist, die Plug-ins „Microsoft Defender XDR“, „Microsoft Entra“, „Microsoft Intune“ und „Microsoft Sentinel“ zu verwenden. Drittanbieter-Plug-ins sind verfügbar und die Liste wächst, sollte es allerdings ein spezielles Plug-in für beispielsweise die Firewall nicht geben, so können Unternehmen diese Informationen dem Copilot for Security aber auch passiv über Sentinel zur Verfügung stellen.

Eine neue Art der Suchmaschine

Der Erfolg der ersten praktischen Schritte im Umgang mit dem Microsoft Copilot for Security hängen sehr von den Prompts ab. Heute weiß jeder, wie er von Suchmaschinen wie Bing oder Google die richtigen Ergebnisse erhält. KI-Assistenten brauchen ein wenig elaboriertere Suchanfragen. Wir sollten daher immer 

• festlegen, was das Ziel der Anfrage sein sollte und eine entsprechende Zielvorstellung formulieren,
• dem KI-Assistenten den nötigen Kontext geben, um zu verhindern, dass er unnötige Plug-ins verwendet,
• unsere Erwartung verklausulieren und die Art des gewünschten Ergebnisses festlegen sowie
• die Quellen angeben, die das Tool durchsuchen soll und ihm keinesfalls freie Hand lassen – sonst sucht der Copilot for Security in alle Richtungen und verschwendet SCUs.

Alternativ zum manuellen Erstellen von Prompts gibt es sogenannte Promptbooks. Das sind kuratierte und individuell anpassbare sowie aufeinander aufbauende Befehlsreihen, die für bestimmte Workflows bereits nativ im Microsoft Copilot for Security verfügbar sind. Sie bilden beispielsweise eine typische Reihe von Prompts ab, die ein Security-Analyst bei einem Incident abfragen würde. Zudem liefert das Defender-Portal mit aktiviertem Copilot for Security bereits in der Detailansicht eines Incidents eine Zusammenfassung aller relevanter Informationen. Ebenfalls ein Vorteil des KI-Assistenten, der in diesem Zusammenhang sogar automatisiert eine Beispiel-Mail an den zuständigen Sachbearbeiter vorformuliert.

Eine Sache des Pricings…

Ob der Microsoft Copilot for Security zum Einsatz kommen kann und wird, hängt auch vom Budget der Unternehmen ab. Die empfohlene Menge an SCUs für mittelständische Unternehmen beträgt 3. Die schlagen aktuell mit knapp 100.000 Euro pro Jahr zu Buche. Allerdings ist es möglich, dynamisch zu skalieren, je nachdem wie groß der Bedarf ist. Weniger als 1 SCU können Unternehmen allerdings nicht verwenden, jedenfalls nicht, ohne dass ihre Einstellungen gelöscht werden. Doch keine Sorge, ist eine Secure Computing Unit verbraucht, muss keine neue gekauft werden: Die SCUs laden sich zu jeder vollen Stunde wieder auf, sodass User selbst bei einem minimalen Kapazitätsvorrat von 1 SCU kontinuierlich Prompts an den KI-Assistenten stellen können. 

Zukünftig plant Microsoft auch, Unternehmen Analysen zur Verfügung zu stellen, welche Plug-ins am meisten vom KI-Assistenten genutzt werden, um die Burnrate der Kapazität nachvollziehen und feintunen zu können. Ultimativ ist der Microsoft Copilot for Security für Unternehmen, die etwa Ontinue ION nutzen, kein Muss. Aber der Einsatz des KI-Assistenten erleichtert auch den Cyber Advisors und Cyber Defender von Ontinue die Arbeit und ist daher ein wertvolles Asset im Kampf gegen Cyberkriminelle.