Freigeben über

Verwenden von Promptbooks in Microsoft Copilot für Security

  • Artikel

Was sind Promptbooks?

Copilot für Security enthält vordefinierte Promptbooks, eine Reihe von Eingabeaufforderungen, die zusammengestellt wurden, um bestimmte sicherheitsbezogene Aufgaben auszuführen. Sie können auf ähnliche Weise wie Sicherheitsplaybooks funktionieren – sofort einsatzbereite Workflows, die als Vorlagen zum Automatisieren sich wiederholender Schritte dienen können – für instance im Hinblick auf die Reaktion auf Vorfälle oder Untersuchungen. Jedes vordefinierte Promptbook erfordert eine bestimmte Eingabe (z. B. einen Codeausschnitt oder einen Bedrohungsakteurnamen).

Sie können die verschiedenen Promptbooks finden, indem Sie zur Promptbookbibliothek wechseln oder das Funkelsymbol auswählen Screenshot des Sparkle-Symbols. in der Eingabeaufforderungsleiste. Sie können dann nach einem Promptbook suchen oder Alle Promptbooks anzeigen auswählen, um alle anzuzeigen.

Untersuchung von Vorfällen

Sie können das Promptbook zur Untersuchung von Vorfällen ausführen, nachdem Sie eine Incidentnummer für das Microsoft Sentinel- oder Microsoft Defender XDR-Plug-In bereitgestellt haben. Verwenden Sie das entsprechende Promptbook für das Plug-In, das Sie verwenden möchten. Die Promptbooks zur Untersuchung von Vorfällen enthalten mehrere Aufforderungen zum Generieren eines Executive-Berichts für eine nicht technische Zielgruppe, der die Untersuchung zusammenfasst. Jede Eingabeaufforderung baut auf der vorherigen Eingabeaufforderung auf.

So führen Sie das Eingabeaufforderungsbuch zur Untersuchung von Microsoft Sentinel-Vorfällen aus:

  1. Wählen Sie in der Eingabeaufforderungsleiste die Schaltfläche Eingabeaufforderungen aus, und geben Sie "Incidentuntersuchung" ein, bis die Promptbooks in der Liste angezeigt werden.

  2. Wählen Sie Microsoft Sentinel Incident Investigation (Untersuchung von Microsoft Sentinel-Vorfällen) aus. (Um stattdessen das Microsoft Defender XDR-Plug-In zu verwenden, wählen Sie Microsoft Defender XDR Incidentuntersuchung aus.) Screenshot des Promptbooks für die Analyse verdächtiger Skripts.

  3. Geben Sie im Eingabefeld mit der Sentinel-Incident-ID die Incidentnummer an, die Sie untersuchen möchten.

  4. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds Ausführen aus.

  5. Warten Sie, bis Copilot für Security die Incidentnummer über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Copilot für Security generiert Antworten für jede der Eingabeaufforderungen und baut auf jeder Antwort auf, bis sie zur letzten Eingabeaufforderung gelangt.

  6. Lesen Sie die Antworten nach Copilot für Security. Die letzte Aufforderung von Copilot für Security generiert einen Bericht zur Geschäftsleitung, der die Untersuchung basierend auf den Antworten zusammenfasst. Überprüfen und überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Bedrohungsakteurprofil

Das Profil-Promptbook für Bedrohungsakteur ist eine schnelle Möglichkeit, eine Zusammenfassung zu einem bestimmten Bedrohungsakteur zu erhalten. Das Promptbook sucht nach vorhandenen Threat Intelligence-Artikeln über den Akteur, einschließlich bekannter Tools, Taktiken und Verfahren (TTPs) und Indikatoren, einschließlich Korrekturvorschlägen. Anschließend fasst er die Ergebnisse in einem Bericht für weniger technische Leser zusammen.

So führen Sie das Promptbook für das Bedrohungsakteurprofil aus: 1.Wählen Sie in der Eingabeaufforderungsleiste die Schaltfläche Eingabeaufforderungen aus, und geben Sie "Bedrohungsakteurprofil" ein, bis die Promptbooks in der Liste angezeigt werden.

  1. Wählen Sie Bedrohungsakteurprofil aus.
  2. Geben Sie den Namen des Bedrohungsakteurs in das Eingabefeld ein, das name des Bedrohungsakteurs lautet. Screenshot: Promptbook für Bedrohungsakteur
  3. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds die Schaltfläche Ausführen aus.
  4. Warten Sie, bis Copilot für Security den Namen des Bedrohungsakteurs über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Copilot für Security generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.
  5. Lesen Sie die Antwort nach Copilot für Security. Die letzte Eingabeaufforderung von Copilot für Security generiert einen leicht lesbaren Bericht, der relevante Informationen zum identifizierten Bedrohungsakteur enthält. Überprüfen und überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Verdächtige Skriptanalyse

Das Eingabeaufforderungsbuch für die Verdächtige Skriptanalyse ist nützlich, wenn Sie ein PowerShell- oder Windows-Befehlszeilenskript untersuchen. Wenn beispielsweise ein PowerShell-Skript an einem kritischen Incident in Ihrem Netzwerk beteiligt war, können Sie den Text des Skripts kopieren und das Promptbook ausführen, um mehr darüber zu erfahren.

So führen Sie das Promptbook aus: 1.Wählen Sie in der Eingabeaufforderungsleiste die Schaltfläche Eingabeaufforderungen aus, und geben Sie "Verdächtige Skriptanalyse" ein, bis die Promptbooks in der Liste angezeigt werden.

  1. Wählen Sie Verdächtige Skriptanalyse aus.

  2. Fügen Sie die Skriptzeichenfolge, die analysiert werden soll, in das Eingabefeld skript to analyze (Zu analysierende Skript) ein. Screenshot: Verdächtige Skriptanalyse in einem Promptbook

  3. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds Ausführen aus.

  4. Warten Sie, bis Copilot für Security den Skriptinhalt über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Copilot für Security generiert Antworten für jede der Eingabeaufforderungen und baut auf jeder Antwort auf, bis sie zur letzten Eingabeaufforderung gelangt.

  5. Lesen Sie die Antworten nach Copilot für Security. Die letzte Eingabeaufforderung von Copilot für Security generiert einen vollständigen Bericht über die Funktionsweise des Skripts, alle verwandten Bedrohungsaktivitäten und die empfohlenen nächsten Schritte basierend auf der Bewertung der Dateiabsicht. Überprüfen und überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Bewertung der Auswirkungen auf Sicherheitsrisiken

Das Promptbook zur Bewertung der Auswirkungen auf Sicherheitsrisiken akzeptiert eine CVE-Nummer oder einen bekannten Sicherheitsrisikonamen, um herauszufinden, ob die Sicherheitsanfälligkeit öffentlich offengelegt oder ausgenutzt wurde und ob sie von Bedrohungsakteuren in ihren Kampagnen verwendet wurde. Anschließend kann es Empfehlungen zur Bekämpfung oder Entschärfung der Bedrohung geben und diese Ergebnisse in einer Zusammenfassung zusammenfassen.

So führen Sie dieses Promptbook aus:

  1. Wählen Sie in der Eingabeaufforderungsleiste die Schaltfläche Eingabeaufforderungen aus, und geben Sie "Sicherheitsrisiko-Auswirkungsbewertung" ein, bis die Promptbooks in der Liste angezeigt werden.
  2. Wählen Sie Bewertung der Auswirkungen auf Sicherheitsrisiken aus.
  3. Geben Sie im Eingabefeld CVEID die CVE-Nummer oder den Allgemeinen Sicherheitsrisikonamen ein, über die Sie weitere Informationen erhalten möchten. Screenshot: Promptbook zur Bewertung der Auswirkungen auf Sicherheitsrisiken.
  4. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds die Schaltfläche Ausführen aus.
  5. Warten Sie, bis Copilot für Security den Sicherheitsrisikonamen oder CVE über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.
  6. Lesen Sie die Antwort aus Copilot für Security. Die letzte Eingabeaufforderung generiert einen leicht lesbaren Bericht über die Sicherheitsanfälligkeit. Der Bericht enthält Details zu bekannten Nutzungsaktivitäten, einschließlich Vorschlägen zur Entschärfung. Überprüfen und überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Anzeigen der Promptbookbibliothek

Sowohl vordefinierte als auch vom Benutzer erstellte Promptbooks in Ihren organization werden in der Promptbookbibliothek angezeigt. Zeigen Sie die Promptbooks an, indem Sie zum Menü Copilot wechseln und Promptbookbibliothek auswählen.

Screenshot der Bibliothek im Menü.

Sie können auf der Startseite auch Eingabeaufforderungsbibliothek anzeigen auswählen.

Screenshot der Bibliothek auf der Startseite.

In der Promptbookbibliothek werden alle verfügbaren Promptbooks angezeigt. Die Promptbooks werden nach Namen aufgelistet, und Sie können die Beschreibung, den Besitzer, die Anzahl der Eingabeaufforderungen, die erforderlichen Plug-Ins, Eingaben und Tags anzeigen, falls vorhanden.

Screenshot der Bibliothek.

Wählen Sie das Lupensymbol in der Eingabeaufforderungsbibliothek im oberen linken Bereich der Seite aus. Geben Sie die ersten Buchstaben ihres Promptbooktitels ein, und warten Sie, bis die Ergebnisse geladen werden.

Sie können auch nach Tags filtern.

Siehe auch