Các tổ chức đang đối mặt với bối cảnh mối đe dọa mạng ngày càng phát triển, đặc trưng bởi các cuộc tấn công nhanh hơn và phức tạp hơn. Để đáp ứng thách thức này, **Microsoft** đã chính thức ra mắt một **nền tảng bảo mật agentic** tiên tiến, được xây dựng trên **Microsoft Sentinel**.

Làn sóng đổi mới này tích hợp dữ liệu, ngữ cảnh, tự động hóa và các tác nhân AI thông minh (intelligent agents). Mục tiêu là hỗ trợ các đội ngũ bảo mật trong việc phát hiện, điều tra và ứng phó với các mối đe dọa với tốc độ của trí tuệ nhân tạo (AI).

Nền Tảng Bảo Mật Agentic của Microsoft Sentinel

Sự trỗi dậy của các “Frontier Firms” – nơi con người và các tác nhân AI cộng tác theo thời gian thực – đã tạo ra những cơ hội và thách thức mới cho các nhà bảo vệ hệ thống. Các công cụ bảo mật truyền thống thường gặp khó khăn trong việc theo kịp các mối đe dọa hiện đại.

Điều này buộc các đội ngũ phải quản lý vô số cảnh báo rời rạc và quy trình làm việc thủ công. Nền tảng agentic của **Microsoft Sentinel** giải quyết vấn đề này bằng cách tích hợp mọi thứ vào một hệ thống duy nhất.

Với khả năng tích hợp liền mạch với **Microsoft Defender** và **Microsoft Purview**, **Microsoft Sentinel** cung cấp cho các đội ngũ khả năng hiển thị và các công cụ họ đã tin dùng. Giờ đây, các công cụ này được nâng cao với khả năng điều phối agentic.

Hồ Dữ Liệu Sentinel (Data Lake) và Ngữ Cảnh Đồ Thị (Graph Context)

Hồ dữ liệu của **Microsoft Sentinel**, hiện đã có sẵn rộng rãi, tập trung tất cả các tín hiệu bảo mật của bạn ở quy mô đám mây. Khả năng này đảm bảo thu thập dữ liệu toàn diện cho việc phân tích.

Hệ thống đồ thị mới của Sentinel và máy chủ **Model Context Protocol (MCP)**, hiện đang trong giai đoạn xem trước công khai, bổ sung khả năng truy cập ngữ nghĩa và ngữ cảnh dựa trên đồ thị.

Những tính năng này cho phép các tác nhân AI – dù trong **Security Copilot**, **VS Code** với **GitHub Copilot**, hay các nền tảng đối tác – điều hướng trong hệ thống kỹ thuật số của bạn. Chúng có thể truy vết các đường dẫn tấn công và xác định chính xác tác động.

Với máy chủ **Sentinel MCP**, các đội ngũ an ninh mạng có thể mở rộng và tùy chỉnh các tác nhân AI. Các tác nhân được định nghĩa trước và tác nhân tùy chỉnh có thể tự động hóa các cuộc điều tra, làm phong phú cảnh báo và kích hoạt các phản hồi.

Điều này chuyển hoạt động an toàn thông tin từ việc chữa cháy phản ứng sang săn lùng mối đe dọa chủ động và phòng thủ dự đoán.

Tác Nhân Security Copilot

Được xây dựng dựa trên ngữ cảnh của **Microsoft Sentinel**, **Security Copilot** hiện cung cấp một công cụ tạo tác nhân không cần mã (no-code agent builder). Các đội ngũ có thể mô tả quy trình làm việc mong muốn bằng ngôn ngữ tự nhiên và xuất bản các tác nhân tùy chỉnh chỉ trong vài phút.

Đối với các nhà phát triển, nền tảng mã hóa hỗ trợ MCP trong **VS Code** hỗ trợ tạo tác nhân được cung cấp bởi **GitHub Copilot**. Điều này giúp tối ưu hóa quá trình phát triển các tác nhân bảo mật chuyên biệt.

Các tác nhân này giúp giảm thiểu số lượng cảnh báo giả (false positives), tăng tốc quá trình phân loại (triage), và giảm thời gian trung bình để phục hồi (MTTR). Chúng có thể được sử dụng cho nhiều tác vụ như phân loại lừa đảo (phish triage), tối ưu hóa quyền truy cập có điều kiện (conditional access optimization), hoặc đánh giá quyền truy cập nhúng (embedded access reviews).

Bảo Mật và Quản Trị AI ở Quy Mô Lớn

Khi việc áp dụng AI ngày càng phát triển, rủi ro bảo mật liên quan cũng tăng theo. Microsoft liên tục tăng cường các biện pháp **Bảo mật cho AI** để đảm bảo an toàn cho dữ liệu và hệ thống.

Các cải tiến sắp tới đối với **Azure AI Foundry** sẽ bổ sung khả năng kiểm soát việc tuân thủ nhiệm vụ theo thời gian thực. Đồng thời, các hàng rào bảo vệ thông tin cá nhân (PII guardrails) và tính năng bảo vệ nhắc nhở (prompt shield spotlighting) cũng được tích hợp.

Những tính năng này đảm bảo hành vi của tác nhân AI phù hợp với các chính sách bảo mật trong suốt vòng đời của chúng. Đây là yếu tố then chốt để duy trì **bảo mật thông tin** trong môi trường AI.

Kiến Trúc Mở và Khả Năng Mở Rộng

Kiến trúc mở và có khả năng mở rộng của **Microsoft Sentinel** khuyến khích các đối tác xây dựng và triển khai các tác nhân riêng của họ. Điều này tạo ra một hệ sinh thái mạnh mẽ và đa dạng các giải pháp bảo mật.

Microsoft đang hợp tác với các đối tác chiến lược như **Accenture**, **ServiceNow**, và **Zscaler** để củng cố hệ sinh thái này. Để tìm hiểu và triển khai các tác nhân do Microsoft và đối tác xây dựng, bạn có thể truy cập **Microsoft Security Store**.

Những cải tiến này là minh chứng cho cam kết của Microsoft trong việc cung cấp các giải pháp **phát hiện tấn công** và ứng phó hiệu quả. Đây là một bước tiến quan trọng trong việc xây dựng tương lai của an ninh mạng, nơi các nhà bảo vệ có thể đổi mới táo bạo, thích nghi nhanh chóng và làm việc thông minh hơn với sự hỗ trợ của AI.

Để tìm hiểu thêm về những đổi mới này, bao gồm cả nền tảng agentic của Microsoft Sentinel, bạn có thể tham khảo blog chính thức của Microsoft Security.