Obtenha contexto de usuário final para alertas de IA
A proteção contra ameaças do Microsoft Defender for Cloud para cargas de trabalho de IA permite que você aprimore a capacidade de ação e o valor de segurança dos alertas de IA gerados, fornecendo contexto para o usuário final.
Adicione parâmetros às suas chamadas de API do Azure OpenAI para permitir que sua IA do Azure passe o contexto crítico do usuário final para os alertas de IA do Defender for Cloud. Este contexto de utilizador final proporciona uma maior visibilidade dos utilizadores finais e conduz a investigações e resultados mais eficazes. Por exemplo, você pode bloquear um usuário específico ou correlacionar incidentes e alertas por usuário final.
Pré-requisitos
Leia sobre Visão geral - Proteção contra ameaças de IA.
Habilite a proteção contra ameaças para cargas de trabalho de IA (visualização) em um aplicativo de IA, com o modelo subjacente do Azure OpenAI, diretamente por meio do Serviço OpenAI do Azure. Observe que, no momento, esse recurso não é suportado ao aproveitar modelos implantados por meio da API de inferência de modelo de IA do Azure.
Adicionar parâmetros de segurança à sua chamada do Azure OpenAI
Para receber alertas de segurança de IA com mais contexto, você pode adicionar qualquer um ou todos os seguintes parâmetros de exemplo SecurityContext às suas chamadas de API do Azure OpenAI.
Todos os campos são SecurityContext opcionais. Recomendamos passar os EndUserId campos e SourceIP no mínimo. Os EndUserId campos e SourceIP fornecem aos analistas do Centro de Operações de Segurança (SOC) a capacidade de investigar incidentes de segurança que envolvam recursos de IA e aplicativos de IA generativos. Para obter exemplos, consulte o esquema SecurityContext.
Se o nome de um campo estiver escrito incorretamente, a chamada à API do Azure OpenAI ainda terá êxito. O SecurityContext esquema não requer validação para passar pelo campo de usuário do Azure OpenAI. Os desenvolvedores de aplicativos devem garantir que um JSON válido seja passado para o user campo em todas as solicitações feitas pelo aplicativo para o Azure OpenAI.
Esquema SecurityContext
O esquema fornecido consiste nos SecurityContext objetos que contêm vários parâmetros que descrevem o próprio aplicativo e o usuário final que interage com o aplicativo. Esses campos ajudam suas equipes de operações de segurança a investigar e mitigar incidentes de segurança, fornecendo uma abordagem abrangente para proteger seus aplicativos de IA.
ID de utilizador final
Tipo de utilizador final
ID do locatário do usuário final
Endereço IP de origem
Cabeçalhos de solicitação de origem
Nome da aplicação
| Nome do campo | Tipo | Description | Opcional | Exemplo |
|---|---|---|---|---|
| EndUserId | string | Atua como um identificador exclusivo para o usuário final dentro do aplicativo de IA generativa. Se a autorização do Microsoft Entra ID for usada para autenticar usuários finais no aplicativo de IA generativa, essa deverá ser uma ID de objeto de usuário do Microsoft Entra ID (anteriormente conhecida como Azure Ative Directory). | Sim | 1234a123-12a3-1234-1ab2-a1b2c34d56e |
| EndUserIdType | string | Especifica o tipo de identificador de usuário final. Ele deve ser definido como ID do Microsoft Entra ao usar a ID do objeto de usuário do Microsoft Entra (anteriormente conhecido como Azure Ative Directory). | Sim, a menos que EndUserId seja passado, nesse caso isso deve ser definido como o valor adequado. | Microsoft Entra ID |
| EndUserTenantId | string | Esta propriedade especifica a ID de locatário do Microsoft 365 à qual o usuário final pertence. É necessário quando o aplicativo de IA generativa é multilocatário e os usuários finais de diferentes locatários podem entrar. | Sim | 1234a123-12a3-1234-1ab2-a1b2c34d56e |
| FonteIP | string | Captura o endereço IP do cliente como visto diretamente pelo servidor. Ele representa o endereço IP do cliente mais imediato que fez a conexão com o servidor. Se o cliente se conectar através de um proxy ou balanceador de carga, SourceIP é o endereço IP desse proxy ou balanceador de carga, não o endereço IP do cliente original: - ASP.NET: HttpContext.Connection.RemoteIpAddress - Python: request.remote_addr |
Sim | 12.34.567.891, 1234:1:123A:123:1A2B:AB1:AB1C:AB12 |
| SourceRequestHeaders | Cadeia de dicionário<, string> | Captura um subconjunto de cabeçalhos de solicitação do usuário final que proxies ou balanceadores de carga adicionam. Cabeçalhos como X-Forwarded-For, X-Real-IP ou Forwarded são usados pelo Microsoft Defender for Cloud para obter o endereço IP do cliente original. Os cabeçalhos do User-Agent fornecem contexto sobre o software cliente que inicia a solicitação de API. Os nomes de cabeçalho recomendados incluem: User-Agent, X-Forwarded-For, X-Real-IP, Forwarded, CF-Connecting-IP, True-Client-IP, X-Client-IP, X-Forwarded, Forwarded-For |
Sim | - |
| ApplicationName | string | O nome do aplicativo, usado para fins de identificação e interface do usuário. | Sim | Contoso HR Copilot, Bot de bate-papo de vendas para clientes. |
Adicione o SecurityContext ao seu aplicativo
Recomendamos adicionar todos os parâmetros fornecidos neste documento às chamadas de API do seu aplicativo de IA generativa para o Azure OpenAI.
Selecione um destes exemplos:
Localize e copie o código de exemplo.
Adicione o código ao código do seu aplicativo de IA generativa onde a API OpenAI do Azure é chamada.
Altere os parâmetros do código para corresponder aos seus requisitos.
Guarde as alterações.
Depois de seguir o procedimento, você deve garantir que um JSON válido seja passado para o user campo em cada solicitação feita pelo aplicativo para o Azure OpenAI.