Scopri come i plugin KQL nel Copilot for Security trasformano la gestione della sicurezza informatica.
Nel panorama attuale della sicurezza informatica, la rapidità e l’efficienza nella gestione delle minacce sono cruciali per le aziende. Copilot for Security, una soluzione supportata dall’intelligenza artificiale generativa, si distingue per la sua capacità di rispondere dinamicamente alle minacce informatiche, elaborare segnali e valutare l’esposizione al rischio. Questa piattaforma si fonda su principi di intuitività, personalizzazione, estensibilità e rispetto per i principi di IA responsabile.
I plugin rappresentano un aspetto fondamentale dell’estensibilità e personalizzazione del prodotto. Il sistema supporta attualmente tre tipologie di plugin: API, GPT e plugin KQL. I plugin KQL consentono di integrare preziose informazioni a partire da varie fonti, come ad esempio workspace di Log Analytics, M365 Defender XDR e cluster di Azure Data Explorer.
Una delle principali motivazioni per adottare i plugin KQL è la loro capacità di accedere a enormi quantità di dati già disponibili nei sistemi di archiviazione della sicurezza. Utilizzando il linguaggio di query Kusto (KQL), gli utenti possono personalizzare e affinare le informazioni per ottenere risultati specifici e pertinenti alle loro necessità. Quest’elemento di personalizzazione consente di ottenere un rapido ROI sull’investimento nel Copilot for Security, sfruttando dati e query già presenti negli ambienti delle aziende.
Un aspetto notabile dei plugin KQL è l’integrazione della funzionalità di autenticazione e autorizzazione “on behalf of”, che si allinea alle impostazioni di controllo degli accessi in base ai ruoli (RBAC) già in essere. Ciò significa che gli accessi ai dati sono gestiti in modo sicuro e conforme, limitando l’accesso ai soli utenti autorizzati.
Per dimostrare l’efficacia dei plugin KQL, consideriamo un caso d’uso che sfrutta le funzionalità offerte da Microsoft Sentinel per analizzare anomalie nel comportamento degli utenti e delle app nel contesto di un tenant Azure. Questo processo inizia definendo una connessione a un workspace di Log Analytics attivato per Sentinel, richiedendo alcuni parametri fondamentali, tra cui l’ID del tenant e il nome del workspace.
Una volta stabilita la connessione, le query KQL possono essere utilizzate per identificare attività insolite. Ad esempio, attraverso il motore UEBA (User and Entity Behavior Analytics) di Microsoft Sentinel, è possibile rilevare comportamenti anomali di accesso a applicazioni, sia da parte di amministratori che di utenti normali. La costruzione di queste query è tipicamente semplificata dalla normalizzazione degli insight forniti da UEBA, permettendo così una gestione più agile delle attività di sicurezza.
Un esempio concreto potrebbe includere una query che rileva attività amministrative anomale, come accessi da paesi non comuni o l’utilizzo per la prima volta di specifiche applicazioni. In questo modo, il sistema diventa proattivo piuttosto che semplicemente reattivo, consentendo agli analisti di sicurezza di concentrarsi su minacce reali e rilevanti.
Nell’ambito di questa architettura plugin KQL, si possono anche aggiungere ulteriori abilità con query diverse per ampliare il ventaglio delle informazioni analizzate. Questa flessibilità nel costruire plugin consente di evolvere continuamente l’approccio di sicurezza in un contesto di minacce in continua evoluzione.
Per utilizzare efficacemente questi plugin, è importante che le query siano ottimizzate per garantire la massima efficienza. Pratiche come l’uso del comando project-away per escludere colonne non necessarie possono migliorare le prestazioni delle query, evitando risultati eccessivi e inefficaci.
In ultima analisi, i plugin KQL offrono un modo innovativo e scalabile per massimizzare il valore degli investimenti in sicurezza, migliorando i flussi di lavoro esistenti e amplificando i risultati attraverso l’integrazione dell’IA. Gli utenti possono richiamare le funzionalità dei plugin attraverso prompt di linguaggio naturale o invocando direttamente le abilità, consentendo una facile accessibilità e un’esperienza utente fluida.
Utilizzando le potenzialità dei plugin KQL, le aziende possono affrontare le sfide della sicurezza informatica con maggiore sicurezza e rapidità, rendendosi così più resilienti di fronte a minacce sempre più sofisticate.