ktg-plugin-marketplace/plugins/ms-ai-architect/skills/ms-ai-security/references/ai-security-engineering/security-copilot-integration.md

Microsoft Security Copilot — AI-drevet sikkerhetsoperasjonsplattform

Kategori: AI Security Engineering Sist oppdatert: 2026-04 | Verified: MCP 2026-04 Målgruppe: Sikkerhetsarkitekter og SOC-ledere som vurderer AI-assistert sikkerhetsoperasjon

Introduksjon

Microsoft Security Copilot er en generativ AI-drevet sikkerhetsplattform som hjelper sikkerhets- og IT-profesjonelle å respondere på cybertrusler, prosessere signaler og vurdere risikoeksponering i maskinens hastighet og skala. Plattformen kombinerer OpenAI-arkitektur med Microsofts sikkerhetsekspertise og global trusselintelligens — over 65 billioner sikkerhetssignaler daglig.

Security Copilot er ikke et SIEM eller SOAR i tradisjonell forstand. Det er et AI-lag som sitter oppå eksisterende sikkerhetsverktøy og gjør dem mer tilgjengelige, raskere og mer effektive. En SOC-analytiker som normalt bruker 30 minutter på manuell triage av en phishing-hendelse, kan redusere dette til minutter med Security Copilot-agenter.

Nøkkelprinsipper

• Naturlig språk som grensesnitt: Still spørsmål på norsk eller engelsk, få handlingsrettede svar
• Agentisk automatisering: Autonome agenter utfører repetitive oppgaver uten menneskelig intervensjon
• Kontekstuell forhøyelse: Kombinerer data fra Defender, Sentinel, Intune, Entra og tredjepartskilder
• Human-in-the-loop: Agenter handler autonomt, men admins beholder full kontroll og revisjonslogg

Standalone vs Embedded

Security Copilot finnes i to overlappende opplevelsesformer:

Standalone-portal (securitycopilot.microsoft.com)

• Fullstendig chat-basert grensesnitt for dybdeinvestigering
• Tilgang til alle plugins og datakjelder i én samlet visning
• Promptbooks (automatiserte spørsmålssekvenser) for vanlige scenarier
• Pinboard for deling og samarbeid mellom analytikere
• Primær plattform for Threat Intelligence Briefing Agent og tilpassede agentworkflows

Bruksscenarier: Trusselintelligens-analyse, cross-product-investigasjoner, rapportgenerering

Embedded-opplevelse (integrert i eksisterende portaler)

Portal	Security Copilot-kapabiliteter
Microsoft Defender XDR	Hendelsessammendrag, identitetsanalyse, enhetssummering, filanalyse, hendelsesrapport
Microsoft Sentinel	Hendelsesammendrag, KQL-generering, incident-investigation
Microsoft Intune	Enhetsanalyse, policy-optimalisering, sårbarhetshåndtering
Microsoft Entra	Identitetsrisiko-undersøkelse, Conditional Access-optimalisering, tilgangsgjennomgang
Microsoft Purview	DLP-alerttriage, Insider Risk Management-analyse, eDiscovery

Fordel: Analytikere trenger ikke forlate portalen de jobber i — Security Copilot-assistansen er tilgjengelig inline.

Innebygde Security Copilot-agenter

Security Copilot inneholder autonome agenter som utfører spesifikke sikkerhetsoppgaver uten manuell intervensjon. Per 2026-02 er følgende agenter tilgjengelige:

Agenter for triage og hendelseshåndtering

Agent	Portal	Funksjon	Status
Phishing Triage Agent	Defender XDR	Autonomt triage og klassifisering av brukerrapporterte phishing-hendelser. Semantisk analyse av e-post, URLer og filer. Lærer av analytikerfeedback.	Public Preview
Alert Triage for DLP	Microsoft Purview	Autonomt triage av DLP-alerts, prioriterer høyrisiko-aktiviteter	Preview
Alert Triage for Insider Risk Management	Microsoft Purview	Autonomt triage av IRM-alerts, analyserer innhold og intensjon	Preview

Agenter for proaktiv sikkerhet

Agent	Portal	Funksjon	Status
Threat Intelligence Briefing Agent	Standalone	Ukentlig tilpasset trusselintelligens basert på organisasjonens bransje, geografi og angrepsflate	Public Preview
Conditional Access Optimization Agent	Microsoft Entra	Overvåker nye brukere/apper uten CA-dekning, anbefaler oppdateringer med ett-klikk-løsninger	GA
Vulnerability Remediation Agent	Microsoft Intune	Identifiserer topp-CVE-er, bruker Defender-data, gir trinnvis remediering via Intune	GA
Access Review Agent	Microsoft Entra + Teams	Leverer innsikt og anbefalinger for tilgangsgjennomgang direkte i Teams	GA

Agenter for endpointadministrasjon (Intune)

Agent	Funksjon
Change Review Agent	Evaluerer effekten av godkjenningsforespørsler i Intune
Device Offboarding Agent	Identifiserer utdaterte enheter i Intune og Entra ID
Policy Configuration Agent	Oversetter tekstlige krav til Intune-innstillinger

Viktig: (Verified MCP 2026-04) Agenter aktiveres IKKE automatisk. Administrator må eksplisitt installere og konfigurere dem. Under oppsett velger admin identitetstype:

• Lag agentidentitet (kun Microsoft-bygde agenter): Oppretter dedikert Entra Agent ID med scoped tillatelser
• Koble til eksisterende brukerkonto: Agenten arver dine credentials og tillatelser mens den kjører

Alle agentaktiviteter logges for revisjon. Agenter bruker SCU-er som andre Security Copilot-funksjoner — ingen separat lisensiering nødvendig.

Lisensiering

M365 E5 — Inkludert uten tilleggskostnad (fra november 2025)

Fra 18. november 2025 er Security Copilot inkludert i Microsoft 365 E5-lisenser uten ekstra kostnad: (Verified MCP 2026-04)

• Kapasitet: 400 SCU (Security Compute Units) per måned per 1 000 betalte brukerlisenser
• Skalering: Proporsjonal — 400 lisenser → 160 SCU/mnd, 4 000 lisenser → 1 600 SCU/mnd
• Maksimum: 10 000 SCU/mnd inkludert
• Reset: SCU-er nullstilles månedlig — ubrukte SCU-er overføres ikke
• Auto-provisionering: Kunder mottar 30-dagers forhåndsvarsel, deretter auto-provisioneres Security Copilot uten Azure-oppsett eller manuell SCU-tildeling. Zero-click activation. (Verified MCP 2026-04)
• Overskridelse: Bruk utover inkludert kapasitet throttles; fremtidig mulighet for $6/SCU pay-as-you-go (30-dagers forhåndsvarsel gis)
• Default Security Copilot Capacity: Automatisk opprettet inklusionstildelingen i tenanten — kan ikke modifiseres, deles på tvers av alle brukere og opplevelser, faktureres ikke per time (Verified MCP 2026-04)

Hva er inkludert: (Verified MCP 2026-04)

• Alle chat-, promptbook- og agentscenarier i Entra, Intune, Purview, Defender og standalone-portalen
• Sentinel-scenariet er inkludert for M365 E5-kunder som også bruker Sentinel
• Developer experiences: Agent Builder, APIer for tilpassede agenter, promptbooks og integrasjoner via MCP og Graph APIer
• Partner-built agents: SCU-kostnader inkludert inntil videre (kan endres)

Hva er IKKE inkludert: Sentinel data lake-kostnader, Azure Logic Apps-kostnader, non-agentic Data Security Investigations i Purview, partner-built agent-lisenser kjøpt via Security Store, noen agenter med forutsetninger utenfor M365 E5.

Standalone SCU-modell (for ikke-E5-kunder)

Komponent	Detalj
Enhet	Security Compute Unit (SCU)
Pris	~$6 per SCU (pay-as-you-go / overage)
Provisionering	Manuelt via Azure-portal
Kapasitetskalkulator	Tilgjengelig i standalone-portalen (Azure-konto kreves)

Eksempel SCU-forbruk: En typisk incident-sammendrag forbruker ca. 0,5 SCU; en kompleks multi-prompt investigasjon 3–5 SCU.

Integrasjon med Microsoft Defender XDR

Security Copilot er dypt integrert i Defender XDR som et embedded erfaringslag:

Nøkkelkapabiliteter i Defender

Hendelseshåndtering:

• Automatisk hendelsessammendrag ved åpning av ny hendelse
• Veiledet respons med trinnvise handlingsanbefalinger
• Generering av hendelsesrapport for dokumentasjon og eskalering

Identitetsanalyse:

• Brukersammendrag med risikonivå, rolle, påloggingsadferd og enheter
• Korrelasjon med Entra ID Protection risky user-rapporter
• Sign-in-logg analyse med naturlig språk

Enhet og fil:

• Enhetssammendrag inkludert sikkerhetspostur, uvanlig adferd og sårbar programvare
• Filanalyse — deteksjonsinformasjon, API-kall, strenger, sertifikater
• Script-analyse — reversering av mistenkelige scripts via naturlig språk

Phishing Triage Agent (i Defender):

• Krever: Microsoft Defender for Office 365 Plan 2 + Security Copilot
• Utløses automatisk når bruker rapporterer phishing
• Semantisk analyse (ikke regelbasert som tradisjonell SOAR)
• Transparent begrunnelse i naturlig språk med visuell beslutningskart

XDR-beriking

Bruker rapporterer phishing-e-post
    ↓
Phishing Triage Agent aktiveres automatisk
    ↓ (bruker plugin-er: Defender XDR + Defender TI)
Semantisk analyse av e-post, URLer, vedlegg
    ↓
Klassifisering med begrunnelse (naturlig språk)
    ↓
Analytiker gjennomgår og gir feedback
    ↓
Agent lærer og forbedrer nøyaktighet over tid

Integrasjon med Microsoft Sentinel

Security Copilot integrerer med Sentinel via to plugins:

1. Microsoft Sentinel Plugin

• Summarér Sentinel-hendelser direkte fra standalone Security Copilot
• Hent hendelsesdetaljer, relaterte alerts og entiteter
• Cross-produkt: Korreler Defender XDR-hendelser med Sentinel-hendelser

2. Natural Language to KQL for Microsoft Sentinel (Preview)

Konverterer naturlig språk til kjørbar KQL — elimnerer behovet for manuell KQL-skriving:

Bruker: "Finn alle SAP-hendelser relatert til bruker adele.vance@contoso.com
         de siste 7 dagene og vis incident-tittel"
    ↓
Security Copilot genererer KQL automatisk:
SecurityAlert
| where Entities has "adele.vance@contoso.com"
  and TimeGenerated >= ago(7d)
| join kind=inner (
    SecurityIncident
    | mv-expand SystemAlertId = AlertIds
    | extend SystemAlertId = tostring(SystemAlertId)
  ) on SystemAlertId
| summarize by IncidentNumber, Title

Tilgjengelighet: Standalone-portal og Advanced Hunting-seksjonen i Defender-portalen. Ikke alle Sentinel-tabeller støttes ennå.

Typisk Sentinel-investigasjonsflyt med Security Copilot

1. Hent siste aktive Defender-hendelse tildelt deg (naturlig språk)
2. Berik med entitetsdetaljer (bruker, enhet, IP)
3. Bruk Natural Language to KQL for å lete i Sentinel-data
4. Korreler på tvers av Defender XDR og Sentinel-hendelser
5. Undersøk entiteter (IP-omdømme, trusselaktørprofil via Defender TI)
6. Generer sammendragsrapport for eskalering

Tilpassede Security Copilot-plugins

Organisasjoner kan bygge egne plugins for å utvide Security Copilot med interne datakilder og systemer.

Plugin-typer

Type	Beskrivelse	Bruksområde
API-plugin	Wrapper rundt eksisterende REST API (OpenAPI-spec)	Interne sikkerhetssystemer, ticketing
KQL-plugin	Egendefinerte KQL-spørringer mot Sentinel/Defender	Organisasjonsspesifikke deteksjonsregler
OpenAI-format	ChatGPT-kompatibelt plugin-format	Tredjeparts sikkerhetsleverandører
Egendefinert agent	Fullstendig agent med egne instruksjoner og verktøy	Organisasjonsspesifikke workflows

Teknisk implementering

Manifest-format (YAML): (Verified MCP 2026-04)

Descriptor:
  Name: intern-sikkerhetsportal
  DisplayName: Intern Sikkerhetsportal
  Description: Henter hendelsesdata fra intern ITSM

SkillGroups:
  - Format: API
    Settings:
      OpenApiSpecUrl: https://intern-portal.virksomhet.no/api/openapi.yaml

Distribusjonsalternativer:

• Kun for din organisasjon: Last opp manuelt i plugin-administrasjonsgrensesnittet
• Security Store: Publiser for bredere distribusjon (Microsoft og partnere)
• Agentbygger: Bygg tilpassede agenter med Agent Builder i standalone-portalen (tilgjengelig for M365 E5-kunder) (Verified MCP 2026-04)
• Custom agents: Kan bygges via Developer-seksjonen (/copilot/security/developer/custom-agent-overview) (Verified MCP 2026-04)

Krav: (Verified MCP 2026-04)

• YAML eller JSON manifest-fil med obligatoriske felter: Descriptor (Name, DisplayName, Description) og SkillGroups
• name_for_model maks 100 tegn; name_for_human maks 40 tegn; description_for_model maks 16 000 tegn
• OpenAPI v3.0 eller 3.0.1 støttes
• Autentisering (auth): authorization_type er begrenset til bearer; OAuth, api_key, AAD-støtte under utvikling
• Best practice: Skill-beskrivelser skal være detaljerte og inkludere DescriptionForModel for optimal LLM-valg

Tilgjengelige tredjepartspluginer

Security Copilot støtter et voksende økosystem av tredjepartspluginer via Security Store:

• AbuseIPDB, Censys, CrowdSec CTI, CyberArk, Cybersixgill, Red Canary, Jamf, med flere

Norsk offentlig sektor — Relevans og tilnærming

SOC-team forsterkning

Norske offentlige virksomheter opererer typisk med begrensede SOC-ressurser. Security Copilot kan:

Redusere tid per hendelse: Phishing-triage fra 30 minutter manuelt → minutter med Phishing Triage Agent. Hendelsessammendrag som tar timer → sekunder.

Demokratisere KQL-kompetanse: Natural Language to KQL gjør at analytikere uten KQL-erfaring kan gjennomføre avanserte huntingoperasjoner i Sentinel.

Skalere SOC-kapasitet: Agenter håndterer høyvolumsoppgaver (phishing-triage, DLP-alerts, tilgangsgjennomgang) autonomt, frigjør analytikere for strategisk arbeid.

NSM-retningslinjer og compliance

NSM Grunnprinsipper for IKT-sikkerhet — Prinsipp 5 (Loggføring): Security Copilot logger alle agentaktiviteter i detaljert revisjonslogg. Alle handlinger er sporbare, gjennomgåbare og kan modifiseres av admins. Dette støtter NSM-krav om tilstrekkelig logging for å oppdage, analysere og etterforske hendelser.

NSM Grunnprinsipper — Prinsipp 2 (Tilgangskontroll): Agenter får identitet og RBAC-tillatelser med minste-privilegie-prinsippet. Ingen agent har bredere tilgang enn strengt nødvendig.

Digdir "Veileder om ansvarlig bruk av KI": Human-in-the-loop-kontroll: Agenter anbefaler, analytikere godkjenner. Konfigurerbart nivå av autonomi. Alle AI-beslutninger er forklarte og transparente.

AI Act — Klassifikasjon: Security Copilot faller typisk under høyrisiko AI-klassifikasjon (kritisk infrastruktur / sikkerhetssystemer) under AI Act. Dette krever:

• Transparent begrunnelse for alle AI-beslutninger ✅ (innebygd i Security Copilot)
• Human oversight ✅ (human-in-the-loop som standard)
• Logging og revisjonslogg ✅ (full audit trail)
• Robusthetstesting — Organisasjonen er ansvarlig

Datalagring og suverenitet

Viktig begrensning: Security Copilot er per 2026-02 kun tilgjengelig for kommersielle skytjenester. Ikke tilgjengelig for:

• GCC (Government Community Cloud)
• GCC High
• DoD
• Microsoft Azure Government (inkludert norsk offentlig skyvariant hvis dette benyttes)

Kontakt Microsoft-representant for oppdatert status på offentlig skyvariant-støtte. Data lagres i samme region som eksisterende Security Copilot-workspace.

Praktisk implementeringssti for offentlig sektor

Fase 1 (Uke 1-2): Vurdering
  ├── Bekreft M365 E5-lisenser (→ Security Copilot inkludert)
  ├── Kartlegg eksisterende Defender + Sentinel-infrastruktur
  └── Identifiser 2-3 primære bruksscenarier (phishing-triage, incident-summering)

Fase 2 (Uke 2-4): Pilot
  ├── Aktiver Security Copilot i embedded Defender-opplevelse
  ├── Konfigurer Sentinel-plugin (inkl. Natural Language to KQL)
  ├── Test med lavrisiko-hendelser
  └── Mål tidssparing vs. manuell prosess

Fase 3 (Uke 4-6): Agent-utrulling
  ├── Deploy Phishing Triage Agent (krev Defender for Office 365 Plan 2)
  ├── Konfigurer Conditional Access Optimization Agent
  └── Evaluer Vulnerability Remediation Agent mot Intune-infrastruktur

Fase 4 (Løpende): Tilpasning
  ├── Bygg egendefinerte plugins for interne systemer
  ├── Tren analytikere i promptbok-bruk
  └── Monitorer SCU-forbruk i bruksdashboard

Kostnadsmodell

M365 E5-kunder (inkludert SCU-modell)

Virksomhetsstørrelse	M365 E5-lisenser	Inkluderte SCU/mnd	Estimert verdi
Liten	200	80 SCU	~480 kr/mnd
Medium	1 000	400 SCU	~2 400 kr/mnd
Stor	5 000	2 000 SCU	~12 000 kr/mnd
Maks inkludert	10 000+	10 000 SCU	~60 000 kr/mnd

Estimert pris basert på $6/SCU overage-rate, ~10 kr/USD

Standalone-kunder

SCU/mnd	Estimert månedskostnad (NOK)	Anbefalt for
50	~3 000	Liten SOC, sporadisk bruk
200	~12 000	Medium SOC med daglig bruk
500+	~30 000+	Stor SOC eller MSP

Kapasitetskalkulator: Tilgjengelig i standalone-portalen (krever Azure-konto) for å estimere SCU-behov basert på planlagte scenarier.

Sammenligning: Standalone vs M365 E5 Embedded

Aspekt	Standalone (SCU-kjøpt)	M365 E5 Embedded
Tilgjengelighet	Alle kunder med SCU-er	M365 E5-kunder automatisk
Kostnad	$6/SCU pay-as-you-go	Inkludert (opptil 10 000 SCU/mnd)
Provisionering	Manuelt via Azure	Automatisk
Kapabiliteter	Full standalone + embedded	Full standalone + embedded
Maks kapasitet	Ubegrenset (betalt)	10 000 SCU/mnd inkludert
Sentinel-støtte	Ja	Ja (for M365 E5 + Sentinel-kunder)

Referansearkitektur: Security Copilot i norsk SOC

┌─────────────────────────────────────────────────────────────────┐
│  Norsk offentlig virksomhet — SOC                               │
│                                                                  │
│  ┌─────────────────────────────────────────────────────────┐    │
│  │  Security Copilot Standalone Portal                      │    │
│  │  • Dybdeinvestigasjoner                                 │    │
│  │  • Trusselintelligens (Threat Intel Briefing Agent)     │    │
│  │  • Tilpassede promptbooks for norsk SOC-workflow        │    │
│  └────────────────────┬────────────────────────────────────┘    │
│                       │ AI-lag                                    │
│       ┌───────────────┼───────────────────┐                     │
│       ▼               ▼                   ▼                     │
│  ┌─────────┐    ┌──────────┐    ┌─────────────────┐            │
│  │Defender │    │Sentinel  │    │  Entra + Intune  │            │
│  │  XDR    │    │(SIEM)    │    │  + Purview       │            │
│  │         │    │          │    │                  │            │
│  │• Phish- │    │• KQL-gen │    │• CA Optimization │            │
│  │  triage │    │• Hendel- │    │• Access Review   │            │
│  │  agent  │    │  sess.   │    │• Vuln. Remediat. │            │
│  └─────────┘    └──────────┘    └─────────────────┘            │
│                                                                  │
│  ┌─────────────────────────────────────────────────────────┐    │
│  │  Microsoft Threat Intelligence (65 billioner signaler)   │    │
│  └─────────────────────────────────────────────────────────┘    │
└─────────────────────────────────────────────────────────────────┘

Beslutningsveiledning

Vanlige spørsmål fra kunder

"Trenger vi Security Copilot standalone eller holder embedded?"

Embedded i M365 E5 er tilstrekkelig for de fleste offentlige virksomheter:

• Phishing-triage i Defender ✅
• Hendelsessammendrag i Defender og Sentinel ✅
• Conditional Access-optimalisering i Entra ✅
• KQL-generering i Sentinel ✅

Standalone er verdifullt hvis du trenger:

• Dype cross-platform investigasjoner som kombinerer mange kilder
• Dedikert grensesnitt for trusselintelligens-analytikere
• Tilpassede promptbooks på tvers av produkter

"Vi har ikke M365 E5 — er Security Copilot verdt selvstendig innkjøp?"

Vurder ROI: Hvis en analytiker bruker 2 timer/dag på manuell phishing-triage og Security Copilot reduserer dette med 80%, er breakeven ved relativt få brukere. Gjennomfør pilot med 50 SCU ($300) for å måle faktisk tidssparing.

"Hva med personvern og GDPR — sendes data til OpenAI?"

Security Copilot bruker IKKE kundedataene til å trene andre AI-modeller. Data behandles innenfor Microsofts compliance-rammeverk. Datalagring skjer i kundens valgte region. Se Microsoft DPA og privacy-dokumentasjon.

"Kan vi bruke Security Copilot på ugradert og gradert informasjon?"

Per 2026-02: Security Copilot er kun tilgjengelig på kommersielt skynivå — ikke GCC High eller tilsvarende. For norsk offentlig sektor med krav om behandling av gradert informasjon: kontakt Microsoft for roadmap og alternativer.

Anbefalte neste steg

1. Bekreft lisenser: Har virksomheten M365 E5? → Gratis pilot tilgjengelig nå
2. Identifiser SOC-smertepunkter: Hva er de 3 mest tidkrevende repetitive oppgavene?
3. Start med Phishing Triage Agent: Tydelig ROI, lav risiko, rask gevinst
4. Evaluer Sentinel-integrasjon: Spesielt KQL-generering for analytikere uten KQL-kompetanse
5. Plan for tilpassede plugins: Finnes interne systemer (ITSM, saksbehandling) som kan berikes?

Spørsmål Cosmo bør stille kunden

• Har dere Microsoft 365 E5-lisenser? (Avgjør om Security Copilot er inkludert)
• Bruker dere Microsoft Defender XDR og/eller Microsoft Sentinel i dag?
• Hva er de største tidstyvene i SOC-en daglig? (Phishing-triage? Alert-vurdering? KQL-skriving?)
• Har dere analytikere uten KQL-kompetanse som trenger å søke i Sentinel-data?
• Er det interne systemer (ITSM, HR, saksbehandling) som SOC-en trenger å korrelere med?
• Har dere krav til behandling av informasjon som ikke kan ligge i kommersiell sky?
• Er dere MSP eller intern SOC? (Påvirker lisensiering og agent-konfigurasjon)

Kilder

Basert på offisiell Microsoft Learn-dokumentasjon (sist verifisert 2026-04 via MCP): (Verified MCP 2026-04) — Inklusjonsmodellen (M365 E5 → 400 SCU/1000 lisenser, maks 10 000 SCU/mnd, zero-click provisjonering) er bekreftet via MCP-fetch av security-copilot-inclusion og get-started-security-copilot.

1. What is Microsoft Security Copilot? — Overordnet produktbeskrivelse
2. Microsoft Security Copilot agents overview — Komplett agentoversikt
3. Deploy AI agents in Microsoft Defender — Defender-spesifikke agenter
4. Security Copilot with Microsoft Sentinel — Sentinel-integrasjon
5. Learn about Security Copilot inclusion in Microsoft 365 E5 — E5-lisensiering og SCU-modell. Verified MCP 2026-04: Bekrefter rollout startet 18. november 2025, 400 SCU/måned per 1000 brukerlisenser (maks 10 000 SCU/mnd), zero-click auto-provisionering med 30-dagers forhåndsvarsel, SCU nullstilles månedlig, Developer Experiences (Agent Builder, MCP og Graph API-integrasjoner) er inkludert.
6. Get started with Microsoft Security Copilot — Onboarding og lisensiering. Verified MCP 2026-04: Bekrefter to kundekategorier — M365 E5-kunder (auto-provisionert) og ikke-E5-kunder (manuell onboarding med SCU-provisjonering). M365 E5-kunder trenger ikke Azure-oppsett eller manuell SCU-tildeling.
7. Create your own custom plugins — Egendefinerte plugins
8. Microsoft Security Copilot Phishing Triage Agent — Phishing Triage Agent detaljer
9. Security Copilot agents in Intune overview — Intune-agenter
10. Microsoft Security Copilot experiences — Standalone vs embedded

---

For Cosmo:

Security Copilot er et av de mest konkrete AI-verdiforslaget i Microsoft-stakken for sikkerhetsteam. Det er ikke "AI for AI's skyld" — det er direkte tidsbesparelse på veldefinerte oppgaver.

Anbefal Security Copilot når:

• Kunden har M365 E5 (→ gratis, ingen unnskyldning for ikke å prøve)
• SOC-en bruker Defender og/eller Sentinel
• Det finnes repetitive, høyvolumsoppgaver (phishing-triage, alert-triage)
• Analytikere mangler KQL-kompetanse
• Det er begrenset SOC-bemanning (Security Copilot skalerer kapasitet uten å ansette)

Vær forsiktig / avklar FØR anbefaling:

• Behandler de gradert informasjon som ikke kan ligge i kommersiell sky?
• Er de på GCC/government sky-variant?
• Har de allerede annen SOAR-investering som overlapper?

Trigger-spørsmål fra kunder:

• "Hva er Security Copilot og er det inkludert i E5?"
• "Hvordan kan vi bruke AI i SOC-en uten å ansette flere?"
• "Kan AI hjelpe oss med phishing-triage?"
• "Vi har mange Sentinel-analytikere som ikke kan KQL — finnes det en løsning?"
• "Hva er forskjellen på Security Copilot og Copilot for Microsoft 365?"