Blog
Microsoft Security Copilot: Wie Agents, Automatisierung und ein neues Kostenmodell Ihr Security-Team wirklich entlasten
Head of Cloud Security
Consultant
Die rasante Entwicklung künstlicher Intelligenz prägt mittlerweile nahezu alle Bereiche unseres Alltags und der Arbeitswelt. KI-Technologien erleichtern Abläufe, automatisieren Prozesse und eröffnen neue Möglichkeiten. Gleichzeitig birgt der zunehmende Einsatz von KI auch Risiken: Cyberkriminelle nutzen innovative Methoden, um Angriffe immer raffinierter und in größerer Zahl durchzuführen. Security-Teams stehen heute vor einer paradoxen Situation: Zunehmend bessere Sicherheitslösungen erzeugen immer mehr Alerts. Gleichzeitig fehlt es an Zeit, Personal und Kontext, um Vorfälle schnell und fundiert zu bewerten. Genau hier setzt der Microsoft Security Copilot an.
Die Grundlagen des Security Copilot
Mit dem Microsoft Security Copilot steht Sicherheitsteams ein auf Microsoft-Technologie basierender generativer KI-Assistent zur Verfügung. Er hilft dabei, Bedrohungen zu erkennen, umfassend zu analysieren und wirksam abzuwehren. Der Security Copilot kann auf zwei Arten genutzt werden: 1. Direkt innerhalb der jeweiligen Microsoft-Plattform, z. B. über einen angehefteten Chat in Purview, Defender, Entra oder Intune. 2. Zentral über das eigenständige Security Copilot Admin Portal, das eine klare Übersicht aller Einstellungen und Integrationen bietet.
Prompts
Administrator*innen können dem Security Copilot mithilfe von natürlicher Sprache Anweisungen erteilen oder Auswertungen anfertigen. Dabei wird zwischen Prompts und Promptbooks unterschieden:
Während ein Prompt eine einzelne Anweisung darstellt, besteht ein Promptbook aus einer Abfolge mehrerer Prompts, die systematisch verarbeitet werden. Im Security Copilot Admin Portal stehen vorgefertigte Prompts und Promptbooks zur Verfügung. Sie können diese aber auch individuell anpassen.
Promptbooks finden Sie ausschließlich im Security Copilot Admin Portal , während die vorgefertigten Prompts auch im eingebetteten Chat verwendet werden können. Der Mehrwert für das Security Operations Center (SOC): Standardisierte Promptbooks sorgen für reproduzierbare Analysen, verkürzen Onboarding-Zeiten neuer Analyst*innen und reduzieren Fehler oder Verschwendung der Ressourcen durch manuelle Auswertungen.
Plugins
Bei der eingebetteten Nutzung wird das Large Language Model um weitere spezifische Informationen der jeweiligen Lösung ergänzt. So ist es möglich, präzise und korrekte Analysen zu liefern. Im Admin Portal können Plugins aktiviert werden. Ein Teil dieser Plugins wird von Microsoft bereitgestellt und ist auf Microsoft-Lösungen zugeschnitten. Weitere Plugins stammen von Drittanbietern, wie beispielsweise AbuseIPDB. Dadurch wird der Informationsumfang für den Security Copilot erweitert. Durch Freigabe der Option zur Webrecherche können zusätzlich aktuelle Informationen evaluiert werden. Die Administator*innen können auf ChatGPT oder andere frei zugängliche KI-Systeme verzichten.
Durch den Einsatz von Plugins als Datenquellen erhalten Sicherheitsexpert*innen umfassendere Einblicke in potenzielle Bedrohungen und verfügen über mehr Kontextinformationen. Auch Incident Responder erweitern die Funktionen der Lösung flexibel.
Role-Based Access Control (RBAC) / Userkontext
Diese erweiterte Sicherheitsanalyse richtet sich insbesondere an CISOs, SOC-Analyst*innen und IT-Administrator*innen im Bereich Informationssicherheit. Mit dem Zero-Trust-Prinzip werden Zugriffe und Nutzungen detailliert kontrolliert und gesteuert. Security Copilot RBAC unterscheidet sich von Entra RBAC und ist separat zu betrachten.
Security Copilot-Rollen werden separat im Admin-Portal verwaltet und berechtigen nur für bestimmte Funktionen. Benutzeranfragen über den Security Copilot erfolgen stets im Kontext der jeweiligen Berechtigungen. Die KI kann ausschließlich auf Daten zugreifen und diese auswerten, wenn den Benutzer*innen entsprechende Rechte über Entra-Rollen zugewiesen wurden.
Die Überwachung des Zugriffs und der Nutzung ist im Purview Portal über die Audit Logs und den Activity Explorer einzusehen. Diese Audits dienen der Evaluation für mögliche Rechteerteilungen oder -entzüge.
Security Copilot – Kosten & Lizenzierung
Die Abrechnung für Kunden ohne Microsoft 365 E5 erfolgt auf Basis eines Kapazitätsrahmens, der stündlich zurückgesetzt wird. Grundlage bilden provisionierte Security Compute Units (SCUs), die auch dann als verbraucht gelten, wenn keine Anfragen an den Security Copilot gestellt werden. Wird der festgelegte Rahmen überschritten, werden keine weiteren Prompts mehr ausgeführt. Eine Erweiterung dieses Rahmens ist über sogenannte Overages möglich, die als Puffer dienen. Diese zusätzlichen SCUs sind kostenintensiver und werden nur bei tatsächlicher Nutzung innerhalb einer Stunde abgerechnet. Sie können gedeckelt werden.
Für Unternehmen, die überwiegend in den üblichen Arbeitszeiten zwischen 9 und 17 Uhr operieren, besteht Optimierungspotenzial hinsichtlich der Kostenstruktur. Mithilfe einer Azure LogicApp mit gezielter De- und Reprovisionierung lässt sich vermeiden, dass außerhalb dieser Zeiträume für ungenutzte SCUs gezahlt werden muss. Kosten für die Nutzung des Services werden dadurch signifikant reduziert.
Seit kurzem ist neu, dass Kunden mit Microsoft 365 E5-/Security E5-Lizenzen jeden Monat 400 inkludierte SCUs pro gekauften 1000 Lizenzen – aber maximal 10.000 SCUs pro Monat – erhalten. Diese SCUs werden monatlich zurückgesetzt und können nicht in den nächsten Monat übertragen werden.
Hinweis: Security Copilot steht ausschließlich in kommerziellen Cloud-Umgebungen zur Verfügung. Detaillierte Berechnungen sind über den Azure Calculator möglich.
Security Copilot Use Cases – Beispiele
Defender XDR Script Analytics
Im modernen SOC ist die schnelle und zuverlässige Analyse von verdächtigen Skripten ein entscheidender Faktor für die Abwehr von Cyberangriffen. Häufig werden PowerShell- oder andere Skripte von Angreifenden genutzt, um Schadcode auszuführen oder Systeme zu kompromittieren. Die manuelle Analyse solcher Skripte ist oft zeitaufwändig und erfordert tiefgehende technische Kenntnisse, insbesondere wenn der Code verschleiert oder obfuskiert ist.
Mit der Integration von Security Copilot in Microsoft Defender XDR wird dieser Prozess deutlich vereinfacht und beschleunigt. Sobald ein verdächtiges Skript im Rahmen eines Sicherheitsvorfalls erkannt wird, können SOC-Analyst*innen direkt im Defender-Portal die „Analyze“-Funktion von Security Copilot nutzen. Die KI analysiert das Skript automatisch, erklärt dessen Funktion verständlich, identifiziert schädliche Abschnitte und ordnet diese anhand typischer Angriffsmuster ein. Dadurch erhalten die Analyst*innen innerhalb kürzester Zeit eine fundierte Einschätzung, ob es sich um einen echten Angriff oder um einen Fehlalarm handelt.
Security Incident Summary
Der Security Copilot analysiert Vorfälle, die in Sentinel zusammenlaufen, und gibt Analyst*innen eine korrelierte Übersicht zu den Alerts. Sie enthält den zeitlichen Ablauf des Angriffs, betroffene Assets, eine detaillierte Timeline, Indikatoren für die Kompromittierung sowie die Bewertungen zu Benutzer- und Geräterisiken. Zusätzlich werden Abgleiche mit Watchlists und Threat-Intelligence-Daten vorgenommen, sodass Analyst*innen in kürzester Zeit einen vollständigen Überblick über die Angriffssituation erhalten. Security Copilot liefert außerdem einen klaren Vorschlag für den weiteren Untersuchungspfad und unterstützt das SOC-Team dabei, die Triage und Bearbeitung von Incidents deutlich zu beschleunigen.
Security Copilot Agents
Security Copilot Agents automatisieren repetitive Aufgaben und haben spezialisierte Funktionen innerhalb der Admin-Portale. Mithilfe von Feedback passen die Agents kontinuierlich ihre Arbeitsweise an und entwickeln sich fortlaufend weiter.
Im Security Store des SC Admin Portal können vorkonfigurierte Agents kostenfrei eingebunden oder kostenpflichtig erworben werden. Stand Dezember 2025 stellt Microsoft selbst zwölf verschiedene Agents bereit. Dieses Angebot wird durch Agents von Drittanbietern ergänzt. Zudem besteht die Möglichkeit, individuelle, maßgeschneiderte Agents selbst zu erstellen. Zukünftig wird Microsoft diese Komponenten vermehrt über den Security-Store anbieten und im Falle von Security Copilot direkt integrieren und konsumierbar machen.
Es gibt verschiedene Möglichkeiten, einen Agenten individuell nach den eigenen Bedürfnissen zu erstellen. Im Security Copilot Admin Portal lässt sich ein Agent mithilfe von Assistenten konfigurieren. Der integrierte Copilot kann bei der Erstellung unterstützen oder sogar einen vollständigen Entwurf für die gewünschten Aufgaben bereitstellen. Um Agents identisch anzulegen, kann die Konfiguration als Yaml-Datei exportiert und bei einer neuen Erstellung wieder importiert werden.
Dem Agenten werden neben der Benennung spezifische Anweisungen erteilt. Die Bearbeitung der Aufgaben erfolgt durch den Agenten entsprechend vorgegebenen zeitlichen Abläufen. Hierbei kommen definierte Trigger zum Einsatz. Es ist möglich, zusätzliche Quellen wie weitere Agents (GPTs) oder KQL-Abfragen einzubinden.
Use Cases für Security Agents
Entlastung des Security Operations Center
Im SOC fallen täglich zahlreiche Sicherheitsalarme an, die von den Mitarbeitenden überprüft und priorisiert werden müssen. Copilot Agents unterstützen das SOC-Team, indem sie automatisch die weniger kritischen Alerts übernehmen und eigenständig analysieren. So werden Routineaufgaben automatisiert abgewickelt, was zu einer deutlichen Reduzierung der Arbeitsbelastung führt.
Die SOC-Analyst*innen können sich jetzt gezielt auf die Bearbeitung von hochpriorisierten und komplexen Vorfällen konzentrieren. Das erhöht nicht nur die Effizienz, sondern verbessert auch die Reaktionsgeschwindigkeit bei relevanten Bedrohungen. Die Agents arbeiten nach vordefinierten Abläufen und können flexibel um zusätzliche Datenquellen oder Trigger erweitert werden. So werden sie optimal in die bestehende Sicherheitsarchitektur eingebunden.
Shadow-IT mit Security Copilot Agents erkennen und Risiken beheben
Mitarbeitende verwenden häufig eigenständig beschaffte Software, Cloud-Dienste oder Hardware, die außerhalb der offiziellen IT-Richtlinien betrieben werden. Dadurch entstehen potenzielle Angriffspunkte, die dem SOC oft verborgen bleiben.
Security Copilot Agents können gezielt eingesetzt werden, um Shadow-IT zu erkennen und einzudämmen. Mögliche Angriffspfade analysieren sie beispielsweise mithilfe zusätzlicher Datenquellen wie KQL-Abfragen. Der Agent schlägt Eindämmungsmaßnahmen vor, wie z. B. die Isolation betroffener Systeme, die Einleitung von Compliance-Prüfungen oder die Kommunikation mit den verantwortlichen Mitarbeitenden.
Wir unterstützen bei der Einführung
Nutzen Sie den Microsoft Security Copilot, um Datenabfluss effektiv zu verhindern, und schützen Sie Ihre Informationen mit vertrauenswürdigen KI-Analysen und klaren Empfehlungen. Verzichten Sie bei sensiblen Aufgaben auf frei verfügbare KI-Lösungen und schützen Sie Ihre Daten zuverlässig innerhalb der EU-Grenzen und Ihres Tenants mit Security Copilot.
Möchten Sie Microsoft Security Copilot in Ihrem Unternehmen implementieren und von den Vorteilen KI-gestützter Sicherheit profitieren?
Wir unterstützen Sie bei der Einführung – von der ersten Beratung über die individuelle Anpassung bis hin zur Integration in Ihre bestehende Sicherheitsarchitektur.
Kontaktieren Sie uns für ein unverbindliches Erstgespräch, eine Live-Demo oder ein maßgeschneidertes Implementierungskonzept. Gemeinsam machen wir Ihre IT-Sicherheit fit für die Zukunft!
Das könnte Ihnen auch gefallen
- Blog
- Blog
- Blog