如今，各组织都在积极学习并探索生成式AI技术的潜力，以及它如何影响组织的安全性、员工效率及整个行业的动态。在这一浪潮中，AI技术迅速成为安全团队的重要增效工具，为他们提供了前所未有的机会来提升生产力、节省时间、甚至提升员工的技能水平。

为了更好地应对AI技术带来的挑战，Microsoft Defender专家团队一直在使用和探索Copilot for Security。他们发现，Copilot能够以全新的方式简化工作流程、提供实时信息并优化日常任务，从而改善沟通清晰度、数据分析能力，以及提升技能。

通过Microsoft Defender Experts for XDR，Microsoft Defender专家团队成为我们客户的安全运营中心（SOC）团队的延伸。他们主动寻找使用Microsoft Defender数据的严重网络威胁，对事件进行初步评估、调查并揭示高级威胁，确定恶意活动的范围和影响，然后代表客户采取行动来纠正事件。如今，有了Copilot for Security 的加持，Defender专家团队拥有了一个强大的新工具，能够在更短的时间内更准确地响应和处置各类安全事件。

专家们分享了Copilot for Security在威胁检测、调查和管理应对的真实场景中如何发挥作用：微软Defender专家合作伙伴集团经理赖安·基维特（Ryan Kivett）认为，Copilot能够支持团队成员的学习和职业成长；微软Defender专家首席研究负责人布莱恩·胡珀（Brian Hooper）表示，Copilot能够协助安全分析师减少最重要的日常任务，即严重威胁调查。

那么，Copilot for Security 是如何提供帮助的呢？以下是四个方面的具体例子：

 01 

节省时间提高效率

快速响应事件

在一个安全事件持续进行的情况下，每一秒都至关重要。

Copilot for Security确保能够在即时情境中实现可操作性。它将关键的指导和上下文交给你的安全团队，使他们能够在几分钟内迅速响应事件。微软Defender团队成员菲比·罗杰斯（Phoebe Rogers）分享了如何使用Copilot在每次脚本分析中节省时间并提高效率，更深入地理解以及更具深刻事件洞察力。

同时，当安全分析师与客户交流时，他们必须即时提供清晰、简洁且全面的摘要，以便客户深入了解情况。布莱恩·胡珀探讨了Copilot极大地提升了分析师的工作效率，使得他们能够以比过去快90%的速率，来编写关于这些事件的详细步骤。

 02 

提升初级分析师技能

协助识别恶意脚本

例如勒索软件等许多复杂且隐蔽的攻击，会通过使用脚本等多种手段逃避检测。此外，这些脚本容易被混淆，增加了检测和分析的复杂性。对此，布莱恩·胡珀详细展示了Copilot中逐行脚本检查的功能，使安全分析师能够快速评估和识别脚本的恶意性质。这项功能不仅能够协助初级安全分析师提升专业知识水平，更能让分析师通过自然语言来执行各项任务。因此，即便在经验不足或专业知识匮乏的情况下，借助Copilot的高效输出，初级分析师也能迅速获得准确结果，同时，这一过程还有助于他们培养关键技能，为未来的长期发展奠定坚实基础。

 03 

获取优质威胁情报

助力准确判断

要了解组织的外部威胁，通常需要大量的时间和使用多种工具。通常情况下，分析师必须查询多个存储库，以获取评估可疑域名、主机或IP地址所需的关键数据集。

DNS数据、WHOIS信息、恶意软件样本以及SSL证书等关键信息为威胁指标（IOCs）提供了至关重要的上下文，然而，这些存储库遍布各处，且各自拥有不同的数据结构，这极大地增加了分析师在收集、整合所有相关数据并进行及时评估的难度。

通过Microsoft Defender Threat Intelligence 和 Copilot获取威胁情报数据与丰富的上下文信息，安全分析师能够更加准确地做出判断，例如判断某个IP地址是否具有恶意性。菲比·罗杰斯利用Defender Threat Intelligence和Copilot，将用户的登录属性与其身份验证历史记录进行了对比分析，从而提供了有价值的信息来简化分析过程，并有效地确定是否存在潜在威胁。

一旦做出判断，分析人员仍然可能需要花费时间和努力，将威胁情报总结并通报给受影响的一方。然而，Copilot可以极大地缓解这一负担。菲比详细阐述了Copilot如何高效解析公共漏洞和暴露（CVEs）的影响，并迅速整合相关信息，如受影响的产品列表、已知利用这些漏洞的恶意行为者动态，以及针对这些威胁提出的有效缓解策略和建议，从而为分析人员提供有力的支持。

 04 

以AI技术速度和规模保护组织

有效应对威胁

在面对数据不完整、潜在威胁需调查、通报威胁或制定即时应对方案等情况时，安全分析师正切实体验到Copilot为他们工作带来的实际好处：Copilot能帮助分析师以机器的速度和规模保护组织。当然，生成式AI技术的能力不仅适用于安全团队，潜在的威胁者同样可能利用这一技术。因此，安全团队越早评估并利用生成式AI技术来增强和改进自身的安全策略，就越能在竞争激烈的网络安全环境中占据优势。

布莱恩·胡珀对此持坚定态度，他极力推荐内部署Copilot：“我鼓励团队尝试不同的提示词，自主总结事件、分析脚本，并深入研究微软关于攻击的情报。随着时间的推移，他们会自然而然地认识到Copilot在多种场景下，都能为他们提供有力支持。”