From e406ef395eff4ab56a0e8bcca854622562d8780e Mon Sep 17 00:00:00 2001 From: Kjell Tore Guttormsen Date: Thu, 18 Jun 2026 20:32:43 +0200 Subject: [PATCH] =?UTF-8?q?feat(ms-ai-architect):=20#8b=20currency=20M-ite?= =?UTF-8?q?ms=20=E2=80=94=20Defender=20AI=20threat=20protection=20+=20OWAS?= =?UTF-8?q?P=20LLM04/06/08/09=20+=20M365=20E7/Agent=20365=20+=20Foundry=20?= =?UTF-8?q?Local=20air-gapped?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Phase B (M-items) av #8 currency-rest. Nytt innhold, verifisert mot Microsoft Learn + OWASP GenAI 2026-06-18 (tre research-subagenter). Begge nye KB-filer wiret i SKILL.md (de-orphan bekreftet: kb-integrity 115/115, orphan-warnings uendret 262). Nye KB-filer (ms-ai-security/references/ai-security-engineering/): - owasp-llm-top10-azure-mitigations.md — konsolidert dekning av de fire OWASP 2025-kategoriene som manglet referanse i SKILL.md-mappingen (LLM04 Data/Model Poisoning, LLM06 Excessive Agency, LLM08 Vector/ Embedding Weaknesses, LLM09 Misinformation) med verifiserte Azure-tiltak. OWASP-side 404 for LLM06/08/09 → definisjoner kryssverifisert, merket. - defender-threat-protection-ai-services.md — Defender for Cloud «AI threat protection» (gjeldende navn; plan «Defender for AI Services»). GA for AI applications, Preview for AI agents (fra 2026-02-02). Varselliste m/ Alert ID + MITRE-taktikk, Prompt Shields-integrasjon, prising (75B-token trial). KRITISK: ikke tilgjengelig i Azure Government (norsk off. sektor). SKILL.md (ms-ai-security): - Fylte de 4 «—»-radene LLM04/06/08/09 → owasp-llm-top10-azure-mitigations.md. - La til Defender-referanse (kjøretids-trusseldeteksjon) + Government-forbehold. - Fil-telling ai-security-engineering 17→22 (17 var stale; faktisk 20 + 2 nye). licensing-matrix.md (ms-ai-advisor): - Ny rad «Microsoft 365 E7» i master-matrisen + dedikert E7/Agent 365-seksjon. E7 (GA 2026-05-01) bundler E5 + M365 Copilot + Agent 365 + Entra Suite. Agent 365 = IT-admin kontrollplan (registry/Entra Agent ID/Defender/Purview). VERIFISERT at begge er reelle SKU-er. Priser (~$99 E7 / ~$15 Agent 365) er community-/partnerkilder → eksplisitt merket uverifisert. disconnected-ai-scenarios.md (ms-ai-infrastructure): - Ny seksjon «Foundry Local — generativt lokalt og air-gapped». To produkter: on-device (offline etter nedlasting, ingen Azure-sub) + on Azure Local (Arc/Kubernetes, Preview). Air-gapped/disconnected støttet fra juni 2026 (Preview): edgeartifacts-registry, expansion packs, lokal AD, ingen telemetri. Del av Microsoft Sovereign Private Cloud — relevant for norsk suverenitet. Tester: validate-plugin 239 PASS / 0 FAIL / 0 WARN · kb-integrity 115/115 (262 pre-eksisterende orphan-warnings, uendret) · run-e2e alle suiter PASS. #8 nå komplett (S-bannere #8a + M-items #8b). Neste: #9 v1.16.0 release. FLAGG: `/architect:kb-update` apply forblir UTSATT (krever egen bekreftelse). Co-Authored-By: Claude Opus 4.8 (1M context) Claude-Session: https://claude.ai/code/session_01REiKFhP4w6xGXXqWKpPCJJ --- .../architecture/licensing-matrix.md | 23 +++++ .../hybrid-edge/disconnected-ai-scenarios.md | 25 +++++ skills/ms-ai-security/SKILL.md | 14 +-- .../defender-threat-protection-ai-services.md | 94 ++++++++++++++++++ .../owasp-llm-top10-azure-mitigations.md | 97 +++++++++++++++++++ 5 files changed, 247 insertions(+), 6 deletions(-) create mode 100644 skills/ms-ai-security/references/ai-security-engineering/defender-threat-protection-ai-services.md create mode 100644 skills/ms-ai-security/references/ai-security-engineering/owasp-llm-top10-azure-mitigations.md diff --git a/skills/ms-ai-advisor/references/architecture/licensing-matrix.md b/skills/ms-ai-advisor/references/architecture/licensing-matrix.md index b3b70bd..d4d52cf 100644 --- a/skills/ms-ai-advisor/references/architecture/licensing-matrix.md +++ b/skills/ms-ai-advisor/references/architecture/licensing-matrix.md @@ -21,6 +21,7 @@ Denne referansen gir en komplett oversikt over hvordan Microsoft-lisenser gir ti |---------|--------------|--------------------|--------------------|-------------------|-------------------|----------|----------------| | **Microsoft 365 E3** | 💰 Add-on required | ✅ Included | 💰 Requires M365 Copilot | 500/user* | Standard connectors | ❌ Separate Azure sub | ❌ Requires Copilot Studio license | | **Microsoft 365 E5** | 💰 Add-on required | ✅ Included | 💰 Requires M365 Copilot | 500/user* | Standard connectors | ❌ Separate Azure sub | ❌ Requires Copilot Studio license | +| **Microsoft 365 E7** (ny, GA 2026-05-01) | ✅ Bundled | ✅ Included | ✅ Included | 500/user* | Standard connectors | ❌ Separate Azure sub | ✅ via M365 Copilot + Agent 365-governance | | **Microsoft 365 Business Basic** | 💰 Add-on required | ✅ Included | 💰 Requires M365 Copilot | ❌ Not included | Standard connectors | ❌ Separate Azure sub | ❌ Requires Copilot Studio license | | **Microsoft 365 Business Standard** | 💰 Add-on required | ✅ Included | 💰 Requires M365 Copilot | ❌ Not included | Standard connectors | ❌ Separate Azure sub | ❌ Requires Copilot Studio license | | **Microsoft 365 Business Premium** | 💰 Add-on required | ✅ Included | 💰 Requires M365 Copilot | ❌ Not included | Standard connectors | ❌ Separate Azure sub | ❌ Requires Copilot Studio license | @@ -29,6 +30,28 @@ Denne referansen gir en komplett oversikt over hvordan Microsoft-lisenser gir ti *\*AI Builder seeded credits fjernes 1. november 2026* +### Microsoft 365 E7 + Microsoft Agent 365 (nytt — GA 1. mai 2026) + +> **Verifisert 2026-06-18 mot Microsoft Learn.** Prisene under er fra community-/partnerkilder, ikke offisiell prissettingsside — verifiser før bruk i tilbud eller beslutningsunderlag. + +**Microsoft 365 E7** er det nye øverste enterprise-nivået (annonsert 9. mars 2026, GA 1. mai 2026) — det første SKU-et som bundler i én lisens: +- Alt i **Microsoft 365 E5** (Office, Teams, Defender, Intune, Purview, Power BI Pro, E5 Security/Compliance) +- **Microsoft 365 Copilot** (inkludert — ikke add-on) +- **Microsoft Agent 365** (inkludert) +- **Microsoft Entra Suite** + +Indikativ pris: ~$99/bruker/måned *(community-kilde — ikke offisielt verifisert)*. Kilde: [Agent management — licensing](https://learn.microsoft.com/microsoft-365/admin/manage/agent-365-overview). + +**Microsoft Agent 365** er en IT-admin **kontrollplan for AI-agenter** (ikke et sluttbrukerverktøy): +- **Registry:** samlet inventar over alle agenter (Foundry, Copilot Studio, egenutviklede, oppdagede «shadow agents»). Foundry-/Copilot Studio-agenter registreres automatisk. +- **Access control:** Entra Agent ID + risikobasert Conditional Access for agentidentiteter. +- **Observability:** sanntidsovervåkning, «Agent Map», bruksmønstre. +- **Security:** integrert med Defender og Purview for trusselbeskyttelse og DLP. + +Tilgjengelig som selvstendig add-on (~$15/bruker/måned, *community-kilde*); anbefalt prerekvisitt M365 E5. Kilde: [Overview of Microsoft Agent 365](https://learn.microsoft.com/microsoft-agent-365/overview). + +**Agent-fakturering (Copilot Credits):** classic answer 1 · generative answer 2 · agent action 5 · tenant graph grounding 10 Credits. Brukere med M365 Copilot-lisens (inkl. E7) betaler **ikke** Credits for agenter i Copilot Chat/Teams/SharePoint (B2E, opp til fair-use). Kilde: [Copilot Studio billing rates](https://learn.microsoft.com/microsoft-copilot-studio/requirements-messages-management). + ### Power Platform Licenses | License | AI Builder Credits (monthly) | Copilot Studio Access | Premium Connectors | RPA Capabilities | diff --git a/skills/ms-ai-infrastructure/references/hybrid-edge/disconnected-ai-scenarios.md b/skills/ms-ai-infrastructure/references/hybrid-edge/disconnected-ai-scenarios.md index 815c1d9..b3d1569 100644 --- a/skills/ms-ai-infrastructure/references/hybrid-edge/disconnected-ai-scenarios.md +++ b/skills/ms-ai-infrastructure/references/hybrid-edge/disconnected-ai-scenarios.md @@ -43,6 +43,31 @@ AI-scenarioer fordeler seg langs et tilkoblingsspektrum: ## Offline Model Deployment +### Foundry Local — generativ inferens lokalt og air-gapped + +To distinkte produkter under «Foundry Local»-paraplyen (verifisert 2026-06-18 mot Microsoft Learn): + +| Produkt | Formål | Azure-abonnement | Status | +|---------|--------|------------------|--------| +| **Foundry Local** (on-device) | Lokal modellruntime i klientapper (Windows/macOS/Linux). SDK: C#/JS/Rust/Python. Data forlater aldri enheten. | Nei | Tilgjengelig | +| **Foundry Local on Azure Local** | Enterprise-skala inferens på on-prem Arc-enabled Kubernetes (Azure Local, tidl. Azure Stack HCI). | Ja | Preview (tilgang på søknad) | + +**Foundry Local (on-device)** kjører inferens helt på enheten og fungerer **offline etter at modeller er lastet ned** (caches lokalt). Nettverk brukes kun til første modellnedlasting og valgfri diagnostikk. Ingen per-token-kostnad. Modellkatalog: Phi, Qwen, DeepSeek, Mistral, GPT OSS (chat), Whisper (audio). + +**Foundry Local on Azure Local — air-gapped/disconnected** (offisielt støttet fra **juni 2026**, Preview): kan deployes i miljøer uten internett. Forskjeller fra connected: + +| Aspekt | Connected | Disconnected (air-gapped) | +|--------|-----------|---------------------------| +| Modellkilde | Foundry cloud-katalog | Lokalt `edgeartifacts` container registry (fra expansion packs) | +| Extension | Standard Arc-extension | Expansion pack lastes ned + importeres manuelt | +| Sertifikater | `azure-cert-manager` | `cert-manager` + `trust-manager` (i expansion pack) | +| Telemetri | Til Microsoft | **Sendes ikke** | +| Autentisering | Offentlige Entra ID-endepunkter | Integrert med **lokal Active Directory** | + +Modeller forhåndsinstalleres: expansion pack lastes ned i tilkoblet miljø, overføres manuelt og importeres med PowerShell (`Start-AldoExpansionPackUpload`/`-Installation`) → publiseres til `edgeartifacts`. Arc er obligatorisk koblingsmekanisme, men trenger ikke løpende Azure-tilkobling i disconnected-modus. Inferens-runtimes: ONNX-GenAI (CPU/GPU) og vLLM (GPU). Multi-node Kubernetes (juni 2026) gir concurrent inferens og større modeller. + +**Suverenitet (norsk offentlig sektor):** Foundry Local on Azure Local er del av **Microsoft Sovereign Private Cloud**. Disconnected-modus er eksplisitt rettet mot suverene, klassifiserte og strengt regulerte miljøer — ingen telemetri til Microsoft, data og kontrollplan innenfor virksomhetens grenser. Eligibility krever dokumentert forretnings-/regulatorisk begrunnelse. Kilder: [Foundry Local](https://learn.microsoft.com/azure/foundry-local/what-is-foundry-local) · [Foundry Local on Azure Local — disconnected](https://learn.microsoft.com/azure/azure-sovereign-clouds/private/foundry-local/disconnected-operations/concept-overview). + ### Azure AI Foundry Tools Disconnected Containers Microsofts primaere losning for AI-tjenester uten nettverkstilkobling: diff --git a/skills/ms-ai-security/SKILL.md b/skills/ms-ai-security/SKILL.md index bdda1e0..c4bb8bf 100644 --- a/skills/ms-ai-security/SKILL.md +++ b/skills/ms-ai-security/SKILL.md @@ -79,15 +79,17 @@ Map each threat to the solution under assessment. Use the reference files for de | LLM01 | Prompt Injection | Content Safety Prompt Shields, system message hardening, Groundedness Detection | `prompt-injection-defense-patterns.md` | | LLM02 | Sensitive Information Disclosure | PII-filter, Purview DLP, output-filtrering | `data-leakage-prevention-ai.md`, `pii-detection-norwegian-context.md` | | LLM03 | Supply Chain Vulnerabilities | AI Foundry curated models, signed models, DLP for connectors | `supply-chain-security-ai-models.md` | -| LLM04 | Data and Model Poisoning | Azure ML data lineage, isolated fine-tuning, Purview validation | — | +| LLM04 | Data and Model Poisoning | Azure ML data lineage, isolated fine-tuning, Purview validation | `owasp-llm-top10-azure-mitigations.md` | | LLM05 | Improper Output Handling | Grounding Detection API, Content Safety output-filtre, Structured Outputs | `output-validation-grounding-verification.md` | -| LLM06 | Excessive Agency | Copilot Studio scoped tools, RBAC per project, human-in-the-loop, budget caps | — | +| LLM06 | Excessive Agency | Copilot Studio scoped tools, RBAC per project, human-in-the-loop, budget caps | `owasp-llm-top10-azure-mitigations.md` | | LLM07 | System Prompt Leakage | Metaprompt patterns, Prompt Shields, output monitoring | `jailbreak-prevention-production.md` | -| LLM08 | Vector and Embedding Weaknesses | AI Search managed identities, index-level security filters, Private Endpoints | — | -| LLM09 | Misinformation | RAG grounding, Groundedness Detection, citation patterns, confidence scoring | — | +| LLM08 | Vector and Embedding Weaknesses | AI Search managed identities, index-level security filters, Private Endpoints | `owasp-llm-top10-azure-mitigations.md` | +| LLM09 | Misinformation | RAG grounding, Groundedness Detection, citation patterns, confidence scoring | `owasp-llm-top10-azure-mitigations.md` | | LLM10 | Unbounded Consumption | Rate limits, token budgets, PTU for capacity, Cost Management alerts | — | -All reference files are in `references/ai-security-engineering/`. +All reference files are in `references/ai-security-engineering/`. LLM04/06/08/09 deler den konsoliderte filen `owasp-llm-top10-azure-mitigations.md`; LLM10 dekkes av rate-limit-/kostnadsfiler. + +Kjøretids-trusseldeteksjon for AI-endepunkter dekkes av `defender-threat-protection-ai-services.md` (Defender for Cloud AI threat protection — GA for AI applications, Preview for AI agents; merk: **ikke** tilgjengelig i Azure Government). ### Azure AI-spesifikke sikkerhetskontroller @@ -167,7 +169,7 @@ For detailed implementation guidance, see specific files in `references/performa | Katalog | Filer | Innhold | |---------|-------|---------| -| `references/ai-security-engineering/` | 17 | Forsvar, testing, scoring, hendelseshåndtering, Zero Trust, STRIDE-AI, prompt injection, content safety | +| `references/ai-security-engineering/` | 22 | Forsvar, testing, scoring, hendelseshåndtering, Zero Trust, STRIDE-AI, prompt injection, content safety, OWASP LLM-tiltak, Defender AI threat protection | | `references/cost-optimization/` | 21 | Kostnadsmodellering, FinOps, token-optimalisering, PTU/PAYG, caching, right-sizing, SLM-økonomi | | `references/performance-scalability/` | 18 | Latency, skalering, streaming, batch API, rate limits, benchmarking, GPU-dimensjonering | diff --git a/skills/ms-ai-security/references/ai-security-engineering/defender-threat-protection-ai-services.md b/skills/ms-ai-security/references/ai-security-engineering/defender-threat-protection-ai-services.md new file mode 100644 index 0000000..a504810 --- /dev/null +++ b/skills/ms-ai-security/references/ai-security-engineering/defender-threat-protection-ai-services.md @@ -0,0 +1,94 @@ +# Defender for Cloud — AI threat protection + +**Last updated:** 2026-06 | Verified: MCP 2026-06-18 +**Status:** GA (AI applications) · Preview (AI agents, fra 2026-02-02) +**Category:** AI Security Engineering — Threat Detection & Monitoring + +--- + +## Introduksjon + +Microsoft Defender for Cloud tilbyr kjøretids-trusseldeteksjon for generative AI-arbeidsbelastninger gjennom funksjonen **AI threat protection**, levert via planen **Defender for AI Services**. Der Azure AI Content Safety (Prompt Shields, Groundedness) er *preventive* kontroller i selve applikasjonsflyten, er Defender for AI Services et *detektivt* lag: det genererer sikkerhetsvarsler i Defender-portalen når mistenkelig aktivitet treffer modell-endepunktene, og korrelerer dette med MITRE ATT&CK-taktikker og organisasjonens øvrige sikkerhetssignaler (XDR). + +> **Navne-currency (verifisert 2026-06-18):** Gjeldende offisielle navn er **«AI threat protection»** (funksjon) under planen **«Defender for AI Services»**. Det erstatter den tidligere betegnelsen «Threat protection for AI workloads». Kilde: [AI threat protection in Microsoft Defender for Cloud](https://learn.microsoft.com/azure/defender-for-cloud/ai-threat-protection). + +--- + +## Dekning og status + +| Område | Status | Merknad | +|--------|--------|---------| +| AI applications (Azure OpenAI + Azure AI Model Inference) | **GA** | Produksjonsklart for kommersiell Azure | +| AI agents (Azure AI Foundry Agent Service) | **Preview** (fra 2026-02-02) | Samme plan, varsler under utrulling | +| AI models (skanning av opplastede modeller) | **Preview** | F.eks. «Malicious content in uploaded AI model» | + +**Ressurser som dekkes:** Azure OpenAI Service (alle støttede modeller) og Azure AI Model Inference (Foundry-modeller). **Kun tekst-tokens skannes** — bilde- og lyd-tokens skannes ikke. + +> **⚠️ Kritisk for norsk offentlig sektor (verifisert 2026-06-18):** AI threat protection er tilgjengelig i **kommersiell Azure**, men **IKKE i Azure Government** og **ikke i Azure operated by 21Vianet**. Virksomheter som vurderer suveren/Government-sky må planlegge alternativ trusseldeteksjon (f.eks. egne SIEM-regler på Azure Monitor-logger). Kilde: [AI threat protection — availability](https://learn.microsoft.com/azure/defender-for-cloud/ai-threat-protection). + +--- + +## Hva den oppdager + +Varslene er gruppert i AI applications, AI agents og AI models. Hvert varsel er kartlagt til MITRE ATT&CK-taktikker. Utvalg (AI applications, GA der ikke annet er angitt): + +| Trussel | Alert ID | MITRE-taktikk | Alvorlighet | +|---------|----------|---------------|-------------| +| Jailbreak blokkert av Prompt Shields | `AI.Azure_Jailbreak.ContentFiltering.BlockedAttempt` | Privilege Escalation, Defense Evasion | Medium | +| Jailbreak oppdaget (ikke blokkert) | `AI.Azure_Jailbreak.ContentFiltering.DetectedAttempt` | Privilege Escalation, Defense Evasion | Medium | +| ASCII Smuggling — indirekte prompt injection | `AI.Azure_ASCIISmuggling` | Impact | High | +| Credential theft mot modell-deployment | `AI.Azure_CredentialTheftAttempt` | Credential Access, Lateral Movement, Exfiltration | Medium | +| Phishing-URL delt i AI-app/modellrespons | `AI.Azure_MaliciousUrl.ModelResponse` | Impact (Defacement) | High | +| Tilgang fra Tor-IP | `AI.Azure_AccessFromAnonymizedIP` | Execution | High | +| Tilgang fra mistenkelig IP (MS Threat Intel) | `AI.Azure_AccessFromSuspiciousIP` | Execution | High | +| Wallet attack — gjentatte identiske kall (Denial of Wallet) | `AI.Azure_DOWDuplicateRequests` | Impact | Medium | +| Wallet attack — volumanomali (DoW) | `AI.Azure_DOWVolumeAnomaly` | Impact | Medium | +| Anomal verktøy-invokasjon | `AI.Azure_AnomalousToolInvocation` | Execution | Low | +| LLM Reconnaissance-forsøk *(Preview)* | `AI.Azure_LLMReconnaissance` | Reconnaissance | Low | + +For **AI agents** (Foundry Agent Service, alle Preview) finnes tilsvarende varsler, samt `instruction prompt leak` og `agent reconnaissance attempt`. Full liste: [Alerts for AI services](https://learn.microsoft.com/azure/defender-for-cloud/alerts-ai-workloads). + +### Integrasjon med Prompt Shields og «user prompt evidence» + +Jailbreak- og prompt-injection-deteksjon utføres av **Azure AI Content Safety Prompt Shields**; Defender for Cloud konsumerer signalet, genererer varselet og kan vise **user prompt evidence** — utdrag av bruker-prompt og modellrespons direkte i Defender-portalen for triage. Sensitive data redigeres automatisk, og evidens kan **skrus av per abonnement** av personvernhensyn. Kilde: [Enable threat protection for AI services](https://learn.microsoft.com/azure/defender-for-cloud/ai-onboarding). + +--- + +## Aktivering og prising + +- **Aktivering:** Defender for Cloud → *Environment settings* → abonnement → planen **AI services** → toggle On. Krever **Owner** eller **Contributor** på abonnementsnivå. +- **Prising:** 30-dagers gratis prøveperiode begrenset til **75 milliarder skannede tokens**; fakturering starter hvis grensen nås innenfor perioden. Eksakt pris per token: se [Defender for Cloud pricing](https://azure.microsoft.com/pricing/details/defender-for-cloud/) *(ikke gjengitt her — verifiser før bruk i delt dokumentasjon)*. + +--- + +## Relasjon til rammeverk + +- **OWASP LLM Top 10:** February 2026 release notes beskriver at agent-trusselbeskyttelsen adresserer «high-impact, actionable threats aligned with OWASP guidance for LLM and agentic AI systems». Defender utgjør det detektive laget i en OWASP-dekning sammen med preventive Content Safety-kontroller (se `owasp-llm-top10-azure-mitigations.md`). +- **MITRE ATT&CK:** taktikker er oppgitt per varsel i alert-referansen. +- **MITRE ATLAS:** referert i Azure AI security best practices som anbefalt red-team-ramme, men ikke eksplisitt kartlagt i selve Defender-varslene (*ikke verifisert som varsel-mapping*). + +--- + +## Plassering i sikkerhetsarkitekturen + +Defender for AI Services er **deteksjon/respons**, ikke prevensjon. Anbefalt lagdeling: + +1. **Preventivt:** Content Safety Prompt Shields + Groundedness, system message hardening, RBAC/Entra Agent ID (se `zero-trust-ai-services.md`). +2. **Detektivt:** Defender for AI Services-varsler → Defender XDR / Microsoft Sentinel for korrelasjon. +3. **Respons:** hendelseshåndtering med AI-spesifikke playbooks (se `ai-incident-response-procedures.md`). + +For 6×5-sikkerhetsscoringen styrker Defender for AI Services særlig dimensjonene *Threat Detection* og *Monitoring & Response* — men kun i kommersiell Azure (se Government-forbeholdet over). + +--- + +## Kilder og verifisering + +| Kilde | Konfidens | URL | +|-------|-----------|-----| +| AI threat protection (oversikt + availability) | **Verified** (MCP 2026-06-18) | [learn.microsoft.com](https://learn.microsoft.com/azure/defender-for-cloud/ai-threat-protection) | +| Alerts for AI services (full varselliste + MITRE) | **Verified** | [learn.microsoft.com](https://learn.microsoft.com/azure/defender-for-cloud/alerts-ai-workloads) | +| Enable threat protection for AI services (aktivering, prompt evidence, prøveperiode) | **Verified** | [learn.microsoft.com](https://learn.microsoft.com/azure/defender-for-cloud/ai-onboarding) | +| What's new — February 2026 (AI agents preview, OWASP-alignment) | **Verified** | [learn.microsoft.com](https://learn.microsoft.com/azure/defender-for-cloud/release-notes) | +| Azure AI security best practices (MITRE ATLAS-referanse) | **Verified** | [learn.microsoft.com](https://learn.microsoft.com/azure/security/fundamentals/ai-security-best-practices) | + +**Forbehold:** Eksakt pris per token og fullstendig liste over støttede regioner er ikke gjengitt — verifiser mot prissettingssiden ved behov. AI agents-varsler er Preview per 2026-06 og kan endres før GA. diff --git a/skills/ms-ai-security/references/ai-security-engineering/owasp-llm-top10-azure-mitigations.md b/skills/ms-ai-security/references/ai-security-engineering/owasp-llm-top10-azure-mitigations.md new file mode 100644 index 0000000..68d7f0c --- /dev/null +++ b/skills/ms-ai-security/references/ai-security-engineering/owasp-llm-top10-azure-mitigations.md @@ -0,0 +1,97 @@ +# OWASP LLM Top 10 (2025) — Azure-tiltak for LLM04/06/08/09 + +**Last updated:** 2026-06 | Verified: MCP 2026-06-18 +**Status:** Referanse (OWASP 2025 + Azure-tiltak) +**Category:** AI Security Engineering — Threat Modeling & Controls + +--- + +## Formål + +SKILL.md-mappingen mot **OWASP Top 10 for LLM Applications 2025** har dedikert referansedekning for LLM01/02/03/05/07 og for LLM10 (via rate-limit/kostnadsfiler). Denne filen fyller de fire gjenstående kategoriene — **LLM04, LLM06, LLM08, LLM09** — med OWASP-definisjon og konkrete, verifiserte Azure/Microsoft-tiltak. + +> **Kilde-forbehold (verifisert 2026-06-18):** OWASP-listens eksistens og LLM04-definisjonen er hentet direkte fra `genai.owasp.org` (HTTP 200). De individuelle risikosidene for LLM06/08/09 returnerte 404 under innhenting; definisjonene er kryssverifisert mot flere sekundærkilder som siterer OWASP 2025-dokumentet. Azure-tiltakene er grounded i Microsoft Learn (lenker per tiltak). + +--- + +## LLM04 — Data and Model Poisoning + +**OWASP 2025:** «Data poisoning occurs when pre-training, fine-tuning, or embedding data is manipulated to introduce vulnerabilities, backdoors, or biases.» Integritetsangrep på treningsdata — direkte injeksjon, bakdører med trigger, indirekte kontaminering via brukerinteraksjon, og supply chain-risiko fra delte modell-repositories. Kilde: [LLM04 — genai.owasp.org](https://genai.owasp.org/llmrisk/llm04-data-and-model-poisoning/). + +| Azure/Microsoft-tiltak | Mekanisme | +|------------------------|-----------| +| **Azure ML model registry + provenance** | Sentralisert opprinnelse/verifikasjonsstatus. Azure Policy *«ML Deployments should only use approved Registry Models»* kan settes til **Deny** for å blokkere ikke-godkjente modeller. | +| **Kodesignering for treningskode** | Azure Well-Architected krever signert kode i ML compute — sikrer at treningskode er fra betrodd kilde. | +| **Hash-verifisering + adversarial scanning** | Valider modellintegritet og test mot adversarial input før godkjenning. | +| **Microsoft Purview data lineage + DSPM for AI** | Lineage-sporing og Data Security Posture Management for treningsdata-risiko. | +| **Dataversjonering (Git/Azure DevOps)** | Versjonskontroll av grounding-data → rollback ved uventet modelloppførsel. | +| **Defender for Cloud AI threat protection** | Kontinuerlig deteksjon av modellmanipulasjon (se `defender-threat-protection-ai-services.md`). | + +Kilder: [Azure AI security best practices](https://learn.microsoft.com/azure/security/fundamentals/ai-security-best-practices) · [MCSB AI-1: approved models](https://learn.microsoft.com/security/benchmark/azure/mcsb-v2-artificial-intelligence-security) · [Well-Architected: training data lineage](https://learn.microsoft.com/azure/well-architected/ai/training-data-design). + +--- + +## LLM06 — Excessive Agency + +**OWASP 2025:** «Excessive Agency is the vulnerability that enables damaging actions to be performed in response to unexpected, ambiguous or manipulated outputs from an LLM.» Oppstår når agenten gis mer kapabilitet, tillatelse eller autonomi enn nødvendig — forsterket i agent-arkitekturer der modellen dynamisk velger verktøy. Kilde: OWASP 2025 (kryssverifisert; OWASP-side 404 ved innhenting). + +| Azure/Microsoft-tiltak | Mekanisme | +|------------------------|-----------| +| **Microsoft Entra Agent ID** | Hver agent får egen identitet med scoped OAuth 2.0-tillatelser; Entra blokkerer høyprivilegerte roller. GA. | +| **Agent Identity Blueprints + Conditional Access** | Håndhev CA-policyer per blueprint; deaktivering av blueprint deaktiverer alle tilhørende agenter umiddelbart. | +| **Copilot Studio DLP + granulære connector-scopes** | DLP i Power Platform Admin Center; agenten gis kun de connector-operasjonene den faktisk bruker (least-privilege i praksis). | +| **Human-in-the-loop** | Agent Framework `approval_mode: always_require`; Copilot Studio skriver aldri til Dataverse uten brukergodkjenning. | +| **Least-privilege RBAC** | Built-in roller på prosjekt-/workspace-nivå; scoped, kortlevde tokens for agent-funksjoner. | +| **Content Safety Task Adherence** | Detekterer feiljustert/utilsiktet verktøybruk relativt til brukerintensjon. | + +Kilder: [Entra Agent ID](https://learn.microsoft.com/entra/agent-id/what-is-microsoft-entra-agent-id) · [Authorization in Entra Agent ID](https://learn.microsoft.com/entra/agent-id/authorization-agent-id) · [Copilot Studio DLP](https://learn.microsoft.com/microsoft-copilot-studio/admin-data-loss-prevention) · [Autonomous agents — best practices](https://learn.microsoft.com/microsoft-copilot-studio/guidance/autonomous-agents). + +--- + +## LLM08 — Vector and Embedding Weaknesses + +**OWASP 2025:** Sikkerhetsrisiko i vektordatabaser og embeddings — forgiftede embeddings, cross-tenant-lekkasje, embedding inversion (rekonstruksjon av sensitive data fra vektorer), tillatelsesomgåelse i RAG-pipelines. Kilde: OWASP 2025 (kryssverifisert; OWASP-side 404 ved innhenting). + +| Azure/Microsoft-tiltak | Mekanisme | Status | +|------------------------|-----------|--------| +| **Document-level access control (security trimming)** | Permission-metadata (ACL/RBAC/Purview-labels) lagres i indeksen og håndheves ved query-tid via Entra-token (`x-ms-query-source-authorization`). | GA (filters) / Preview (ACL fra ADLS Gen2, API `2026-05-01-preview`) | +| **Managed Identity for Azure AI Search** | Outbound-auth uten hardkodede nøkler. | GA | +| **Private Endpoints** | Deaktiverer public network access; trafikk over Microsoft backbone. | GA | +| **Multi-tenant-isolasjon** | Index-per-tenant / service-per-tenant / hybrid; sterkest separasjon = dedikert service per tenant. | GA | +| **Purview sensitivity labels på indeks** | Label-basert tilgangskontroll oppdaget under indeksering. | Preview | + +Kilder: [Document-level access control](https://learn.microsoft.com/azure/search/search-document-level-access-overview) · [Search security best practices](https://learn.microsoft.com/azure/search/search-security-best-practices) · [Multitenant SaaS + AI Search](https://learn.microsoft.com/azure/search/search-modeling-multitenant-saas-applications) · [Private endpoint for AI Search](https://learn.microsoft.com/azure/search/service-create-private-endpoint). + +--- + +## LLM09 — Misinformation + +**OWASP 2025:** Risiko for at LLM-er genererer eller sprer troverdig fremstilt feilinformasjon — primært via hallusinasjon og fabrikerte siteringer. Kilde: OWASP 2025 (kryssverifisert; OWASP-side 404 ved innhenting). + +| Azure/Microsoft-tiltak | Mekanisme | Status | +|------------------------|-----------|--------| +| **Groundedness Detection (Content Safety)** | Detekterer om svar er forankret i kildedokumenter; Reasoning-mode gir rotårsak; Correction korrigerer ungrounded tekst automatisk. | Public preview | +| **RAG-grounding med Azure AI Search** | Forankrer svar i organisasjonens dokumenter fremfor parametrisk kunnskap. | GA | +| **Citation/reference-mønster** | Strukturerte `citations`-objekter (title/filepath/url/content) → superscript-lenker til kilde i UI. | GA | +| **Copilot Studio — Grounding in Trusted Data** | Svar forankret i datakilder brukeren har tilgang til. | GA | +| **AI Foundry Evaluation — groundedness/completeness** | Måler grounding i end-to-end LLM-evaluering. | GA | +| **Prompt Shields** | Blokkerer indirekte prompt injection som kan styre svar mot feilinformasjon. | GA | + +Kilder: [Groundedness detection](https://learn.microsoft.com/azure/ai-services/content-safety/concepts/groundedness) · [Content Safety overview](https://learn.microsoft.com/azure/ai-services/content-safety/overview) · [Web app citations](https://learn.microsoft.com/azure/ai-foundry/openai/how-to/use-web-app) · [Copilot Studio safety components](https://learn.microsoft.com/microsoft-copilot-studio/system-service-card-copilot-studio). + +--- + +## Lagdelt dekning + +OWASP-kategoriene dekkes best ved å kombinere **preventive** kontroller (Content Safety, Entra Agent ID, AI Search-sikkerhet) med **detektive** (Defender for AI Services, se `defender-threat-protection-ai-services.md`) og **prosess** (STRIDE-/ATLAS-trusselmodellering, se `ai-threat-modeling-stride.md`). For norsk offentlig sektor: merk at Defender for AI Services *ikke* er tilgjengelig i Azure Government — preventive kontroller og egen logg-basert deteksjon blir da viktigere. + +--- + +## Kilder og verifisering + +| Kilde | Konfidens | Merknad | +|-------|-----------|---------| +| OWASP Top 10 for LLM Applications 2025 (liste) | **Verified** | [genai.owasp.org](https://genai.owasp.org/llm-top-10/) (HTTP 200) | +| LLM04-definisjon | **Verified** | OWASP-domenet direkte (HTTP 200) | +| LLM06/08/09-definisjoner | **Medium** | OWASP risikosider 404 ved innhenting; kryssverifisert mot flere sekundærkilder | +| Azure-tiltak (alle kategorier) | **Verified** (MCP 2026-06-18) | Microsoft Learn, lenker per tiltak over |