Microsoft Security Copilot

IT 管理员

IT 管理员经常面临以下挑战：

• 适应快速变化的技术： 由于熟练的IT专业人员短缺，尤其是在高级分析、云管理和人工智能驱动的自动化方面，IT团队面临着巨大的挑战。他们必须平衡持续的需求…… 保持 当前系统及其采用过程中涉及的复杂性 新技术. 
• 保护组织免受高级网络威胁： 随着网络安全风险的不断演变，IT 管理员必须通过实施全面的设备策略和积极主动的安全措施来应对漏洞，同时还要适应不断变化的监管要求和新兴的威胁形势。. 
• 确保员工在各种终端和数据上的生产力： 保持 跨设备、操作系统和位置提供一致且高质量的用户体验至关重要，但也十分复杂。IT 团队必须能够高效地访问和利用设备、应用程序、合规性和策略数据，以便主动应对挑战。 确认 并解决问题，, 优化 既能提高生产力，又能提升最终用户体验。. 

Security Copilot 通过以下方式帮助 IT 管理员解决端点问题：

1. 赋能IT: Copilot 通过人工智能驱动提供情境化指导，消除不确定性，并增强 IT 团队的能力。 专业知识. 自然语言查询简化了流程，并有助于最大限度地降低管理员的学习难度。此功能可实现快速获取洞察，简化故障排除程序，并且 促进 此外，角色感知体验会根据每位管理员的权限进行定制，优先处理相关任务并减轻认知负担。. 
2. 保护终端： Copilot 通过主动发现漏洞、自动修复漏洞并遵循零信任原则，帮助 IT 团队应对不断演变的威胁。Intune 提供对所有端点（包括 Windows 365 云 PC、Windows、Mac、Android 和移动设备）的统一可见性和控制，使 IT 团队能够更轻松地管理其整个设备群。.
3. 优化 工作： Copilot 简化了任务，并有助于高效扩展运营规模。它提供上下文相关的聊天支持，帮助管理员快速排查故障，分析设备策略并提出修复建议。Copilot 摒弃了被动式问题解决，转而支持主动式管理，将设备数据转化为可执行的操作。 见解 并处理通常需要额外资源的复杂分析。. 

关键场景：

• 管理安全和风险： 评估安全态势并快速查看设备状态 决定 政策合规性。. 即刻 确认 哪些设备缺少关键补丁？（使用自然语言）. 
• 高效排除故障： Copilot 可自动收集和分析数据，帮助您快速准确地排查设备和应用问题。了解更多 这里. 
• 确认 政策冲突： 降低因策略冲突或配置错误而导致的运营中断和漏洞风险。 
• 编写 KQL 查询语句以获取设备洞察： 使用 Copilot 构建 KQL 查询并运行查询以从单个和多个设备获取设备详细信息。 
• 探索数据： I使用自然语言查询与数据交互，并查看自定义数据集 Copilot 探索体验。. 学到更多 这里. 
• 使用 agents 实现自动化： Intune 中的 Security Copilot 和 agents 有助于简化复杂任务。 安全 更强大。从将需求转化为政策，到 识别 用于移除的设备，以及在它们发生之前评估变化 影响 提高生产力——这些 agents 通过智能和自动化帮助用户做出更明智的决策、更好地遵守法规并降低风险。.  学到更多 这里。.

身份管理员

身份管理员经常面临以下挑战：

• 巨大的身份威胁需要复杂且耗时的调查和专业知识： 他们必须实时排除故障并调整政策，同时保持安全性和业务连续性之间的平衡。
• 不一致的 IAM 策略会增加风险、削弱安全性并导致效率低下： 身份识别实践的变化（例如未经授权或未记录的政策调整）使数据关联变得复杂，增加了出错风险，并导致严重差距。这些不一致降低了运营效率，并增加了与身份相关的风险。
• 操作过载限制了 IAM 的重点： 身份管理员管理着数十亿个身份，每个身份都有独特的策略和访问权限，同时还要防御人工智能驱动的攻击。这限制了他们专注于主动安全改进和 IAM 优化的能力。
• 网络安全人才短缺加剧风险并给 IAM 能力带来压力： 缺乏熟练的网络安全专业人员意味着身份管理员在管理复杂的 IAM 系统时捉襟见肘。当熟练的管理员无法使用时，常规任务可能会被延迟，从而导致潜在的配置错误、流程效率低下和更高的安全风险。这会影响安全性和运营连续性。

Security Copilot 通过以下方式帮助身份管理员：

1. 简化重复的 IAM 任务，帮助实现身份管理和策略实施的自动化。自动化日常活动可以腾出时间专注于高影响任务，提高整体生产力并减少人为错误。
2. 帮助实现人工智能驱动的威胁检测、洞察和缓解。它为管理员带来了高级身份情境化和实时洞察。自然语言摘要提供了最关键的背景信息，从而实现了数据驱动的决策。
3. 提供自然语言洞察和上下文建议。这使管理员能够做出数据驱动的精确决策。它有助于弥补技能差距并支持协作，并使经验不足的团队成员更易于管理复杂的 IAM 任务。这使身份团队能够更有效地处理复杂的身份挑战，从而腾出资源专注于战略性、高影响的问题。

关键场景：

• 使用 Entra 中的 Security Copilot，通过 AI 驱动的风险检测和缓解来保护身份并确保访问安全： Entra 中的 Security Copilot 使身份管理员能够通过自动化工作中最耗时的环节来显著减少调查和解决时间。它可以自动收集数据、关联数据和情境化数据，无需管理员手动筛选身份验证日志、查看复杂策略或进行耗时的调查。相反，Copilot 提供自然语言摘要，清楚地解释用户风险的增加，提供针对每个事件的可操作见解，并提供带有相关文档快速链接的定制建议。
• 使用 Entra 中的 Security Copilot 来解决关键访问尝试期间的访问失败问题： 身份管理员不再需要花费数小时来查看日志和收集数据（例如，筛选身份验证、应用程序和网络日志）、确定根本原因（例如由于未注册的设备导致的 MFA 失败）以及实施修复（例如重新注册设备或调整策略）。借助 Security Copilot，管理员可以快速利用 GenAI 直接在 Microsoft Entra 管理中心帮助排除登录事件故障，并提供最相关信息的简洁摘要。Copilot 可帮助管理员快速识别登录失败、中断、MFA 提示和其他问题的根本原因，并提供可操作的提示以有效地调查和解决问题。
• 使用 Entra 中的 Security Copilot 调查和补救在 Microsoft Entra 中注册的有风险的应用程序： 组织在保护服务主体和工作负载身份方面面临挑战，这些主体通常具有较高的访问级别，是攻击者的主要目标。传统的 IAM 解决方案专注于用户身份，在保护非人类身份方面存在差距。Microsoft Security Copilot 与 Microsoft Entra 集成，将 AI 驱动的风险检测扩展到服务主体和工作负载身份，使管理员能够快速识别和补救风险。使用自然语言提示（例如“列出我的租户的风险应用详细信息”），管理员可以访问详细的见解并采取行动来增强安全性。这种方法弥补了 IAM 中的空白，确保所有身份类型都受到 AI 驱动的保护。
• 协助利用安全 Copilot 中的 Microsoft Entra 技能进行事件调查和故障排除： Copilot 搭配 Entra 可通过简化调查流程来提高身份事件的解决率。它可以快速总结和关联关键信息（如用户角色、登录日志和风险因素），以便以自然语言为分析师提供清晰的情况概述。这有助于分析师了解潜在危害的范围和具体情况，从而促进更快的决策和响应。

IT 管理员资源：

数据安全管理员

数据安全管理员经常面临以下挑战：

• 数据量和警报数量巨大。警报数量大、复杂度高会导致警报疲劳，从而可能错过关键威胁。
• 事件响应时间和协调。协调及时有效的数据安全事件响应需要多个团队成员和部门的协作。沟通和决策延迟可能导致解决时间更长，损害更大。
• 缺乏专业知识。众所周知，网络安全专业人员短缺，这给现有团队带来压力，迫使他们用有限的资源管理越来越多的威胁。由于组织往往没有足够的资源来扩充和培训团队，情况变得更糟。
• 跨数据和用户的可见性风险。各种数据环境（包括本地系统、云和混合基础设施）的复杂性，加上动态用户访问模式，使得安全管理员难以保持全面的风险可见性。

安全 Copilot 通过以下方式帮助数据安全管理员：

1. 1. 发现隐藏的数据风险。它分析不同解决方案中的大量数据，以实现综合调查。使用数据安全态势管理 (DSPM) 发现和管理整个数据安全环境中的风险，并在单个仪表板下探索信息保护、数据丢失防护 (DLP) 和内部风险管理 (IRM) 的见解。DSPM 提供由 Security Copilot 支持的建议，涵盖您组织的数据分类、策略、要优先处理的警报、要分析的用户，并通过开放式提示问题带您进一步调查。
   2. 加速数据安全调查。Security Copilot 通过在 IRM 和 DLP 中单击提供上下文摘要，使团队能够更快地了解案件并识别风险，所有这些都在现有的调查工作流程中完成。在 IRM 中，它可以根据相关策略评估的内容提供简洁的可见性，并通过上下文证据简化探索。在 DLP 中，它加快了策略调整时间，并支持团队提高数据安全覆盖率并发现其他风险。
   3. 增强数据安全专业知识。它可以提供行动指导，以提高您的团队的技能，实现更自信的表现，并授权各级分析师进行高级调查。对于经验丰富的管理员，DSPM 集中了调查中的见解并显示了主要数据安全风险，以及有关如何解决、数据环境的敏感程度以及数据如何随用户移动的建议。对于新管理员，DSPM 提供汇总见解并帮助他们快速开始了解组织的状况。

关键场景：

• 发现、管理并应对隐藏的风险。借助 DSPM 作为数据安全分析的启动板，管理员将能够在单一界面下更全面地了解其信息保护、DLP 和 IRM 的数据状况。DSPM 应该是每天开始时要去的地方，以便了解重点和从何处开始。
• 更深入、更高效地分析事件。在评估警报时，数据安全管理员可以利用 Security Copilot 从事件中获取更多背景信息，将复杂的安全警报提炼为简明、可操作的摘要，从而加快调查速度，从而缩短响应时间并简化决策。此外，团队可以使用 Copilot 驱动的分析来增强 IRM 中的警报和用户调查，双击查看用户的风险状况和活动，而不仅仅是警报摘要。用户将能够扩展 DLP 中可用的提示，而不仅仅是警报摘要，例如数据/用户特定的调查以及活动资源管理器中的提示和过滤器。
• 发现保护漏洞并简化控制。数据安全管理员可以根据每个组织的数据环境需求和漏洞，通过 Copilot 支持的 DLP 策略漏洞分析，简化策略调整和策略规划，提高覆盖率和控制力。
• 加快数据安全调查。高级数据安全调查自然语言搜索不需要查询语言知识，摘要功能可加速事件探索和理解，并通过 DSPM 中的深度内容分析进行询问。
• 探索 AI 驱动的指导，为团队赋能。通过知识中心获取可操作的指导，了解您的数据状况并更好地探索 Purview 解决方案，并提供指向推荐操作和后续步骤的相关深层链接，以优化调查和工作量。

数据安全管理员的资源：