Security Copilot: l’AI nella gestione degli endpoint

Davide SalsiArtificial Intelligence (AI), Enterprise Mobility, Microsoft Intune

Negli ultimi anni, l’intelligenza artificiale (AI) ha guadagnato un posto di rilievo nel panorama tecnologico, influenzando profondamente il modo in cui le aziende operano e innovano; infatti, secondo Goldman Sachs Research, si prevede che entro il 2033 il contributo dell’AI potrebbe far registrare un aumento del PIL globale pari al 7%; questo dato testimonia in modo lampante quello che è e sarà l’impatto dell’intelligenza artificiale sulla crescita economica a livello mondiale.

Inoltre, da un’analisi condotta da Forbes, entro il 2026 si stima che oltre l’80% delle imprese utilizzerà tecnologie di Generative AI e/o distribuirà applicazioni basate su algoritmi alimentati dai sistemi LLM (Large Language Model).

Tra queste imprese, non può certo mancare Microsoft che, da questo punto di vista, ha fatto un enorme passo avanti con l’introduzione di Copilot nei vari ambiti tecnologici indicati di seguito:

  • Microsoft 365 Copilot: strumento di produttività progettato per integrarsi con Microsoft 365 integrando i dati aziendali con Microsoft Graph e le app e i servizi di Microsoft 365.
  • Microsoft Copilot for Azure: agevola l’interazione con l’utente, rispondendo a domande, generando query ed eseguendo compiti. Inoltre, Copilot per Azure fornisce raccomandazioni personalizzate e di qualità, rispettando le policy e la privacy dell’organizzazione.
  • Microsoft Copilot for Sales: applicazione dedicata all’esperienza di vendita che usa Microsoft 365 e Microsoft Teams per acquisire i dati, accedervi e registrarli automaticamente in un sistema CRM; arricchendo i set di informazioni con i dati sul coinvolgimento dei clienti di Microsoft 365 e la potenza dell’AI,. Copilot for Sales offre ai venditori informazioni sulle vendite che consentono loro di comprendere a fondo i propri clienti per una conclusione più rapida delle trattative.
  • Microsoft Copilot for Service: consente di creare degli assistenti virtuali per agenti che aumentano la produttività degli agenti stessi e migliorano la soddisfazione dei clienti; l’utilizzo di Copilot in questo scenario fornisce risposte in tempo reale in base all’origine dei dati forniti, che possono includere siti Web, SharePoint, file, ecc…
  • Microsoft Copilot Studio: offre un ambiente di sviluppo grafico per creare copiloti con intelligenza artificiale generativa, consentendo la creazione di dialoghi sofisticati e l’utilizzo di funzionalità di plug-in, automazione dei processi e analisi predefinite che funzionano con gli strumenti di intelligenza artificiale conversazionale Microsoft.
  • Microsoft Security Copilot: è una soluzione AI avanzata progettata per migliorare le capacità degli amministratori IT su vari ambiti come incident response e threat hunting.

Panoramica

In precedenza, abbiamo parlato dell’adozione dell’intelligenza artificiale nelle aziende, basandoci su vari studi e report; ora, per comprendere al meglio il funzionamento di Copilot, è necessario avere ben chiari alcuni aspetti e termini chiave legati alla soluzione.

Cosa sono i Large Language Models (LLM)?

I Large Language Models, come GPT di OpenAI (GPT-3.5, GPT-4, ecc…), PaLM e Gemini di Google, sono algoritmi di intelligenza artificiale avanzati capaci di comprendere e generare testo; sono reti neurali artificiali costruite tipicamente con un’architettura basata su transformer.

Inizialmente il testo viene suddiviso in “token” (parola, carattere, o una serie di caratteri) in modo da consentire al modello di poter elaborare le informazioni presenti. Successivamente le reti neurali vanno a prevedere il token successivo per definire una sequenza di testo. Durante le operazioni di training, il modello viene così esposto a grandi quantità di testo e impara a generare previsioni basandosi sul contesto fornito dai token precedenti.

Sulla base di quanto sopra riportato, è necessario considerare che gli LLM sono delle “black box” pertanto non ci è possibile determinare su che base dati è stato fatto il training del modello. Di conseguenza hanno una conoscenza di tipo generalista con informazioni non contestualizzate sul poprio ambito aziendale; nel caso in cui si voglia utilizzare l’intelligenza artificiale all’interno di applicazioni aziendali, è necessario dare a questi modelli una conoscenza di dominio.

Cos’è la Retrieval Augmented Generation (RAG)?

Per consentire agli LLM di recuperare la conoscenza di dominio (con conseguente abbattimento dei limiti riportati in precedenza) è possibile sfruttare la Retrieval Augmented Generation (RAG): questo strumento consente di abilitare gli LLM a interagire con dati privati (presenti in un Content Store) che non fanno parte del dataset che è stato utilizzato per fare training del modello stesso.

Figura 1 – Retrieval Augmented Generation (RAG)

Quando viene inserito un prompt, questo viene integrato con informazioni aggiuntive come:

  • Grounding data: sono i dati privati che sono stati trovati rilevanti per soddisfare il prompt dell’utente; queste informazioni, nel caso di Copilot, vengono recuperate interrogando il tenant sfruttando la soluzione Microsoft Graph.
  • Chat history: viene mantenuto lo storico della chat in modo tale da non dover tutte le volte ripetere il contesto del messaggio.
  • System prompt: è un prompt che consente di guidare la RAG nel fornire risposte coerenti con lo scenario desiderato; nel caso di Copilot, essendo uno strumento di lavoro, viene utilizzato un system prompt che permetta di fornire risposte il più coerenti possibile con lo scenario di business. Il system prompt è utile per prevenire il più possibile uno dei problemi più comuni degli LLM, che è quello delle allucinazioni: le allucinazioni non sono nient’altro che risposte corrette dal punto di vista semantico ma il contenuto risulta essere totalmente inventato.

Cos’è Microsoft Graph?

Microsoft Graph permette di sfruttare un’API unificata e protetta per connettersi ai propri dati privati che si trovano nei vari servizi Microsoft 365; a tal proposito, tale servizio consente di integrare un eventuale output da parte dell’LLM con informazioni prettamente legate al proprio tenant.

Security Copilot e Microsoft Intune

Come riportato in precedenza, Security Copilot è una soluzione AI avanzata progettata per migliorare le capacità degli amministratori IT su vari ambiti come incident response e threat hunting.

Se si utilizza Microsoft Intune come strumento di gestione degli endpoint nel medesimo tenant di Security Copilot, è possibile interrogare Security Copilot per avere maggiori informazioni riguardo ai dispositivi gestiti ed alle configurazioni presenti.

L’integrazione di Microsoft Intune con Security Copilot offre ai professionisti IT un potente strumento per migliorare la gestione della sicurezza e dei dispositivi all’interno delle loro organizzazioni. Attraverso l’uso di insights basati sui dati e funzionalità avanzate, le organizzazioni possono ottenere una visione più chiara e dettagliata della loro infrastruttura IT e della loro security posture.

Security Copilot permette quindi di visualizzare informazioni dettagliate sul proprio ambiente in ambito di device management:, come ad esempio:

  • Device
    • Numero complessivo dei dispositivi registrati
    • Numero dei device registrati nelle ultime 24 ore
    • Versione del sistema operativo dei vari device
    • Dettagli hardware legati al dispositivo
Figura 2 – Dettagli dispositivo forniti da Security Copilot
  • Configuration Profile
    • Creazione di nuovi Configuration Profile
    • Dettagli legati ad uno specifico Configuration Profile
    • Quale policy veicola un determinato setting
    • Differenze/somiglianze tra due differenti Configuration Profile
Figura 3 – Creazione di un Configuration Profile attraverso Security Copilot
  • Compliance Policy
    • Dettagli legati ad una specifica Compliance Policy
    • Differenze/somiglianze tra due differenti Compliance Policy
  • Applications
    • Numero delle applicazioni distribuite da Microsoft Intune
    • Gruppi ai quali risulta assegnata una determinata app
    • Numero delle app assegnate ad uno specifico device
Figura 4 – Stato applicazioni su un determinato dispositivo

Privacy e condivisione dei dati

La protezione dei dati è una delle principali priorità di Microsoft, che per l’appunto implementa controlli approfonditi per salvaguardare le informazioni delle aziende, assicurando che la gestione dei dati sia in linea con gli standard delle aziende stesse in termini di privacy; l’interazione tra Security Copilot e Microsoft Intune implica che il servizio di AI estragga le informazioni necessarie direttamente da Intune, gestendo al tempo stesso i prompt, i dati recuperati e i risultati ottenuti.

Prima di affrontare il tema legato alla privacy dei dati, è opportuna una premessa riguardante i servizi utilizzati nell’integrazione tra Copilot e tutte le soluzioni ad esso integrate: i modelli OpenAI utilizzati (GPT 3.5 – GPT 4) sono ospitati direttamente su Azure, su un servizio denominato Azure OpenAI. Attraverso tale soluzione, Microsoft è in grado di assicurare che non venga utilizzato alcun servizio esterno al proprio cloud, di conseguenza, si ha il pieno controllo su sicurezza, privacy e policy di regolamentazione di questi servizi.

A valle di quanto indicato sopra, le policy di Microsoft in merito a tale tema sono molto chiare essendoci implicazioni sui dati aziendali trattati: tutte le informazioni non vengono condivise con OpenAI, utilizzate per scopi commerciali, condivise con terze parti, ma soprattutto non vengono utilizzate per fare re-training dei modelli.

Security Copilot prevede inoltre un’interazione preferenziale con i data center più vicini alla region dell’utente, con la possibilità, durante picchi di utilizzo, di sfruttare la capacità di data center situati in altre region, garantendo al tempo stesso che i dati non vengano mai trasferiti fuori dalla region di origine. La gestione dei dati segue criteri geografici specifici: per organizzazioni con dati negli Stati Uniti, il trattamento avviene esclusivamente negli Stati Uniti, mentre per aziende con dati in altre region, l’elaborazione può avvenire negli Stati Uniti, nel Regno Unito o nell’Unione Europea, a seconda delle capacità disponibili.

In particolare, Microsoft ha implementato misure aggiuntive per assicurare la conformità dei dati nei paesi dell’Unione Europea: attraverso la soluzione di data residency EU Data Boundary, le aziende avranno la possibilità di processare e archiviare i dati all’interno dell’UE per tutti i servizi cloud di Microsoft come ad esempio Microsoft 365, Azure, ecc…

Riguardo a Copilot, questa soluzione permette che il traffico dell’UE possa essere processato dal servizio Azure OpenAI negli Stati Uniti, ma con la ferma garanzia che nessun dato del cliente venga archiviato al di fuori dell’Unione Europea, consentendo così il rispetto delle normative locali in termini di privacy.

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

Conclusioni

L’intelligenza artificiale, con particolare riferimento ai Large Language Models (LLM) come GPT-3.5 e GPT-4, sta rivoluzionando le pratiche aziendali; la Retrieval Augmented Generation (RAG) è una tecnologia chiave per superare i limiti di questi LLM, consentendo loro di interagire con dati privati.

Microsoft, con l’introduzione di Copilot, offre soluzioni avanzate per migliorare ulteriormente la produttività, la sicurezza e la gestione dei dati, garantendo, al tempo stesso, la massima protezione e la conformità normativa in termini di privacy del dato stesso.