Во вторник корпорация Microsoft объявила о трансформации своего решения Sentinel Security Incidents and Event Management (SIEM) в унифицированную платформу, управляемую искусственным интеллектом. Ключевым элементом этого преобразования стало озеро данных Sentinel, которое теперь получило статус общедоступности после нахождения в публичной предварительной версии с начала июля. Этот шаг закладывает основу для новой концепции кибербезопасности, названной «агентной защитой».
Одновременно с выходом озера данных в общедоступность, Microsoft выпустила в публичную предварительную версию два новых компонента: Sentinel Graph и сервер Sentinel Model Context Protocol (MCP). Эти технологии являются фундаментальными для построения новой архитектуры безопасности, цель которой — предоставить ИИ-агентам все необходимые инструменты для автономной работы и принятия решений.
Стратегическая цель, озвученная Васу Джаккал, корпоративным вице-президентом Microsoft Security, заключается в переходе от «реактивной к предиктивной» модели кибербезопасности. Платформа создана для того, чтобы ИИ-агенты, такие как Security Copilot, могли самостоятельно обрабатывать задачи безопасности, опираясь на полный контекст данных, собранных из множества структурированных и полуструктурированных источников.
В основе работы новой платформы лежит способность Sentinel собирать сигналы безопасности и формировать глубокое контекстное понимание цифровой инфраструктуры компании. Это достигается за счет использования векторизованных данных безопасности и построения графовых взаимосвязей между различными событиями и сущностями. Такой подход позволяет выявлять скрытые и сложные схемы атак.
Ключевым преимуществом Sentinel Graph является предоставление специалистам по безопасности возможности визуализировать и отслеживать пути атак, оценивать их потенциальное воздействие и приоритизировать меры реагирования. Технологии семантического доступа и агентной оркестровки обеспечивают эффективное взаимодействие ИИ-агентов с данными на всей платформе, что значительно ускоряет обнаружение угроз.
Новая система организует и обогащает данные безопасности для выявления едва уловимых закономерностей и корреляции сигналов. Это позволяет быстрее формировать высокоточные оповещения и передавать их командам безопасности. Аналитические данные, полученные в Sentinel, напрямую интегрируются с продуктами Defender и Purview, встраивая графовый контекст в уже используемые инструменты и рабочие процессы.
Платформа также открывает возможности для кастомизации. Команды безопасности могут создавать собственных агентов Security Copilot, адаптированных под специфические рабочие процессы своей организации. Для этого используется среда кодирования на базе сервера Sentinel MCP, например, VS Code, с поддержкой со стороны GitHub Copilot.
Microsoft также уделяет внимание безопасности самих ИИ-компонентов. Компания признает риски, связанные с атаками нового типа, такими как (cross-)prompt injection, направленными на компрометацию ИИ-моделей. Для противодействия этим угрозам планируется внедрение новых усовершенствований в платформу Azure AI Foundry, которые обеспечат дополнительную защиту для ИИ-агентов.
Изображение носит иллюстративный характер
Одновременно с выходом озера данных в общедоступность, Microsoft выпустила в публичную предварительную версию два новых компонента: Sentinel Graph и сервер Sentinel Model Context Protocol (MCP). Эти технологии являются фундаментальными для построения новой архитектуры безопасности, цель которой — предоставить ИИ-агентам все необходимые инструменты для автономной работы и принятия решений.
Стратегическая цель, озвученная Васу Джаккал, корпоративным вице-президентом Microsoft Security, заключается в переходе от «реактивной к предиктивной» модели кибербезопасности. Платформа создана для того, чтобы ИИ-агенты, такие как Security Copilot, могли самостоятельно обрабатывать задачи безопасности, опираясь на полный контекст данных, собранных из множества структурированных и полуструктурированных источников.
В основе работы новой платформы лежит способность Sentinel собирать сигналы безопасности и формировать глубокое контекстное понимание цифровой инфраструктуры компании. Это достигается за счет использования векторизованных данных безопасности и построения графовых взаимосвязей между различными событиями и сущностями. Такой подход позволяет выявлять скрытые и сложные схемы атак.
Ключевым преимуществом Sentinel Graph является предоставление специалистам по безопасности возможности визуализировать и отслеживать пути атак, оценивать их потенциальное воздействие и приоритизировать меры реагирования. Технологии семантического доступа и агентной оркестровки обеспечивают эффективное взаимодействие ИИ-агентов с данными на всей платформе, что значительно ускоряет обнаружение угроз.
Новая система организует и обогащает данные безопасности для выявления едва уловимых закономерностей и корреляции сигналов. Это позволяет быстрее формировать высокоточные оповещения и передавать их командам безопасности. Аналитические данные, полученные в Sentinel, напрямую интегрируются с продуктами Defender и Purview, встраивая графовый контекст в уже используемые инструменты и рабочие процессы.
Платформа также открывает возможности для кастомизации. Команды безопасности могут создавать собственных агентов Security Copilot, адаптированных под специфические рабочие процессы своей организации. Для этого используется среда кодирования на базе сервера Sentinel MCP, например, VS Code, с поддержкой со стороны GitHub Copilot.
Microsoft также уделяет внимание безопасности самих ИИ-компонентов. Компания признает риски, связанные с атаками нового типа, такими как (cross-)prompt injection, направленными на компрометацию ИИ-моделей. Для противодействия этим угрозам планируется внедрение новых усовершенствований в платформу Azure AI Foundry, которые обеспечат дополнительную защиту для ИИ-агентов.
