Paper GenAI-Driven Threat Detection with Microsoft Security Copilot giới thiệu Dynamic Threat Detection Agent – DTDA, một agent bảo mật luôn hoạt động trong Microsoft Security Copilot. Vấn đề xuất phát từ thực tế: tấn công mạng thay đổi liên tục, trong khi quy tắc phát hiện tĩnh và mô hình ML truyền thống thường chỉ thấy một phần câu chuyện. Bài báo nêu rằng năm 2024, chi phí trung bình của một vụ rò rỉ dữ liệu đạt 4.4 triệu USD; nội bộ Microsoft cũng ghi nhận tổ chức có thể gặp tới 232 sự cố/ngày, trong đó 51% không bao giờ được xử lý xong.
DTDA không chỉ “trợ lý phân tích cảnh báo”, mà là agent điều tra tự động. Nó xây dựng activity timeline từ alert, event, UEBA, hành vi user/entity và threat intelligence; sau đó dùng vòng lặp planner–executor để đặt giả thuyết tấn công, tìm bằng chứng ủng hộ/phản bác, rồi tạo cảnh báo mới nếu phát hiện khoảng trống trong câu chuyện tấn công. Hệ thống dùng prompt contract có schema, ràng buộc grounding, retry giới hạn và cơ chế fail-closed để tránh kết quả LLM lỗi lan xuống pipeline.
Quy mô triển khai là điểm đáng chú ý: DTDA đã được tích hợp vào Microsoft Security Copilot và triển khai cho hàng chục nghìn khách hàng Defender. Trong đánh giá online 120 ngày qua 12 vùng production, hệ thống nhận 1.088 đánh giá cảnh báo từ 208 tổ chức, đạt 80.1% precision, đồng thời tạo cảnh báo mới cho khoảng 15% sự cố được điều tra.
Ở đánh giá offline, DTDA dùng GPT-5.4 đạt 0.78 F1, cao hơn GPT-4.1 0.12 F1 và cao hơn baseline 0.26 F1. Về vận hành, mỗi điều tra một sự cố có median time 28 phút, median token cost 2.04 USD, và tỷ lệ lỗi job chỉ 0.38%.
AI bảo mật tương lai không chỉ trả lời chuyên gia, mà có thể chủ động điều tra, ghép bằng chứng và phát hiện phần nguy hiểm bị bỏ sót.
Trần Ngọc Minh 