Security Copilot tillgängligt för alla med E5-licenser för Microsoft 365

– Säkerhetslandskapet befinner sig vid en historisk brytpunkt. Cyberkriminella använder sig allt mer av AI för att automatisera cyberattacker med exceptionell hastighet och skala. Utmaningen är inte bara att hänga med, utan att ligga steget före. Samtidigt finns det över fyra miljoner lediga jobb inom cybersäkerhet, så vi kan inte bara förlita oss på mänskliga resurser. För att täcka luckan behöver vi stärka säkerhetsteam världen över med hjälp av intelligenta agenter, säger Dorothy Li, Corporate Vice President Microsoft Security Copilot, Ecosystem & Marketplace. 

Under eventet Ignite offentliggjorde Microsoft att Security Copilot nu kommer att ingå för alla kunder med fulla E5-licenser för Microsoft 365. Om du har en E5-licens – den mest omfattande licensnivån inom Microsoft 365 för företag – kommer Security Copilot att bli tillgängligt för dig under de kommande månaderna, med ett meddelande i Message Center 30 dagar innan det aktiveras. Ifall din organisation redan har testat Security Copilot sedan tidigare – och har E5-licenser i er miljö – har ni troligtvis redan kapacitetsenheter redo.  

Användningen mäts i Security Compute Units (SCU), en måttenhet för beräkningskapacitet i Microsofts säkerhetsfunktioner i molnet. Organisationer får 400 SCU:er för 1000 användarlicenser. Exempelvis får alltså en organisation med 400 licenser 160 SCU:er per månad, medan en organisation med 4 000 licenser får 1 600 SCU:er. 

I och med förändringen kommer Security Copilot-agenter att byggas in direkt i arbetsflödet för administratörer av Microsoft Defender, Entra ID, Intune och Purview.  

– Detta är alltså ämnat för administratörer, inte vanliga användare. Lite krasst kan man säga att detta är Copilot för it-avdelningen som nu görs både lättillgängligt och kostnadseffektivt.  Det har funnits agenter i de fyra verktygen tidigare, men ändringen med SCU kopplat till Microsoft 365 E5-licenser gör dem lättare att använda. Att det finns fler agenter för fler syften, gör att nyttan också ökar, säger Richard Hagerwald, Lead architect Digital Workplace på Atea.  

Tre olika triage-agenter 

För Microsoft Defender rör det sig om agenter för säkerhetsanalytiker där ett exempel är Phishing Triage Agent, som identifierar och klassificerar phishing-varningar, prioriterar verkliga hot och filtrerar bort falska sådana.

– Att triagera larm är en av de mest tidskrävande uppgifterna för SOC-team. Phishing Triage Agent automatiserar repetitiva uppgifter, påskyndar utredningar och gör varje beslut transparent. Därigenom kan säkerhetsteamen fokusera på det viktigaste, nämligen att utreda verkliga hot och stärka den övergripande säkerhetsnivån, säger Jeffrey Pinkston, Vice President and General Manager for Defender for Office på Microsoft. 

Ett vanligt scenario med just incidenter i en alltmer komplex värld, är hur analytiker är beroende av signaler på när något faktiskt skett. Med Dynamic Threat Detection Agent kan agenten identifiera signaler som tenderar att leda till angrepp och generera larm som stoppar attacken innan den ens hunnit börja. Med den nivå av AI-hot som finns idag kan den här snabbheten bli avgörande.  

En liknande agent, men i Microsoft Purview, är Alert Triage Agent som klassificerar och prioriterar larm om exempelvis dataläckage eller policybrott. Där Defender-versionen fokuserar på cyberhot, fokuserar Purview-versionen i stället på dataskydd och regelefterlevnad. 

– Alert Triage Agent i Microsoft Purview granskar och prioriterar säkerhetslarm för Data Loss Prevention (DLP) och Insider Risk Management (IRM). Detta hjälper organisationer att snabbt identifiera de mest allvarliga datariskerna. Agenten ger även tydliga förklaringar till varför vissa larm prioriteras, skriver Microsoft i ett uttalande.  

Access Review för identitetshantering  

För Entra ID handlar det om identitetshanteringsagenter, exempelvis Access Review, som hjälper organisationer att effektivisera åtkomstgranskningar. Denna agent samlar automatiskt in insikter och genererar rekommendationer för att hjälpa identitetsansvariga att fatta snabba, korrekta beslut om access. Agenten är integrerad i Teams vilket ska minimera tvångsmässiga skiften mellan olika verktyg.  

– Nu kan du ta farväl av tidskrävande efterforskning och osäkerheten i förhastade beslut, skriver Microsoft i ett uttalande om agenten.  

”Oanvända enheter är en säkerhetsrisk” 

För Intune rör det sig om agenter för klienthantering. Ett exempel är Policy Configuration Agent, som tar dokument eller instruktioner i naturligt språk och översätter dem till Intune-policyinställningar. En annan agent i Intune är Device Offboarding Agent som identifierar inaktiva enheter och föreslår att dessa “offboardas” för att minska risk och administration.  

– Gamla och oanvända enheter är mer än bara digitalt skräp – de är en säkerhetsrisk. Varje obevakad enhet ökar risken för sårbarheter och brister i efterlevnad. Med Device Offboarding Agent blir städningen enkel och effektiv. Den skannar hela din miljö, identifierar enheter som inte längre bör vara där och hjälper dig att ta bort dem snabbt. Du minskar din attackyta och får en renare digital miljö, säger Jason Roszak, Vice President of Product på Microsoft Security.  

En av de mest centrala punkterna med att föra in Security Copilot-agenter i Microsoft 365 är att säkerhet ska vara inbyggt i arbetsflöden, inte något vid sidan av.  

– Varje team, oavsett om man arbetar med cybersäkerhet, informationssäkerhet eller identitetshantering, kan nu få in Copilot inbäddat i verktygen som ni använder varje dag. Därmed kan ni skydda era viktigaste tillgångar, där ert arbete sker, säger Dorothy Li.