Microsoft Security Copilot 導入指南：AI 驅動的資安運營

前言：AI 如何改變資安運營？

資安分析師長期面臨「警報疲勞」問題——SIEM 每天產生數萬條警報，但真正需要人工調查的可能只有數十條。Microsoft Security Copilot 是 Microsoft 在 2023 年推出、2024 年 4 月 GA 的 AI 資安助理，目標是讓資安分析師能用自然語言查詢威脅、自動摘要事件、縮短調查時間。

根據 Microsoft 自身研究，Security Copilot 讓資安分析師工作效率提升 22%，新進分析師的工作品質提升 86%。本文將深入解析其功能、定價與企業導入策略。

一、Security Copilot 核心功能

獨立體驗（Standalone Experience）

透過 securitycopilot.microsoft.com 存取的獨立工作台，主要功能：

• Promptbook（提示手冊）：預建與自定義的資安調查流程，一鍵執行多步驟分析
• 事件摘要：自動摘要 Defender XDR 事件，產生可供報告的說明
• 威脅情資查詢：即時查詢 Microsoft 威脅情資（全球 78 兆安全信號）
• Script 分析：貼上可疑 PowerShell、Python、Bash 腳本，AI 解釋其行為
• 漏洞影響評估：查詢特定 CVE 對組織的影響範圍
• Threat Intelligence Report：一鍵產生 APT 組織或惡意軟體的完整威脅報告

嵌入式體驗（Embedded Experience）

直接整合在 Microsoft 資安產品介面中：

二、定價模型（SCU）

Security Copilot 採用「安全運算單位」（Security Compute Units, SCU）計費，而非按使用者數量：

注意：SCU 是「服務產能」概念，並非每位分析師一個 SCU，而是整個組織共享的 AI 運算配額。

三、導入前提條件

授權要求

• 需有 Microsoft 365 E3/E5 或 Microsoft Entra ID P1/P2
• Defender XDR 整合需 Microsoft 365 E5 Security 或個別 Defender 授權
• Sentinel 整合需 Microsoft Sentinel 授權

資料源準備

• 啟用 Microsoft 365 稽核記錄（至少 90 天）
• Defender for Endpoint 部署（端點可見度）
• Sentinel Workspace 設定完成（SIEM 整合）

四、與現有 SIEM/SOAR 的關係

Security Copilot 不是要取代 SIEM，而是在其上增加 AI 分析層：

• Sentinel 仍是資料收集與長期保存的核心（1 年以上）
• Security Copilot 提供自然語言查詢介面，降低 KQL 門檻
• SOAR 自動化回應流程不受影響，Copilot 協助分析師做決策
• 未來 Microsoft 計畫讓 Copilot 能直接觸發 SOAR Playbook

五、台灣企業導入評估

適合的組織

• 已部署 Microsoft 365 E5 或 Defender 產品的組織
• 有專職資安分析師（SOC）的中大型企業
• 希望提升分析師效率而非增加人手的組織

不適合（或尚早）的情況

• 尚未部署 Microsoft 365 / Defender 生態的組織（建議先打好基礎）
• 沒有專職資安人員的小型企業（建議先委外 MDR 服務）
• 預算有限且工作量不大的組織（ROI 不明顯）

建議導入步驟

1. 確認授權是否符合（IT 盤點現有 M365 授權版本）
2. 申請試用（Microsoft 提供免費試用期）
3. 以 3 SCU 起步，評估 30 天使用效益
4. 培訓分析師使用 Promptbook
5. 建立組織自定義 Promptbook 並沉澱最佳實務