Compartir a través de

Uso de promptbooks en Microsoft Copilot for Security

  • Artículo

¿Qué son los promptbooks?

Copilot for Security incluye los promptbooks precompilados, una serie de mensajes que se han reunido para realizar tareas específicas relacionadas con la seguridad. Pueden funcionar de forma similar a los cuadernos de estrategias de seguridad(flujos de trabajo listos para usar que pueden servir como plantillas para automatizar pasos repetitivos), por ejemplo, con respecto a la respuesta a incidentes o las investigaciones. Cada promptbook precompilado requiere una entrada específica (por ejemplo, un fragmento de código o un nombre de actor de amenaza).

Para encontrar los diferentes cuadernos de mensajes, vaya a la biblioteca del libro de mensajes o seleccione el icono De avisos Captura de pantalla del icono de destello. En la barra de mensajes. A continuación, puede buscar una libreta de mensajes o seleccionar Ver todos los cuadernos de mensajes para ver todo.

Vea el siguiente vídeo para obtener más información sobre los promptbooks:

Investigación de incidentes

Puede ejecutar el cuaderno de mensajes de investigación de incidentes después de proporcionar un número de incidente al complemento XDR de Microsoft Sentinel o Microsoft Defender. Use la libreta de mensajes adecuada para el complemento que desea usar. Los promptbooks de investigación de incidentes contienen varias indicaciones para generar un informe ejecutivo para una audiencia no técnica que resume la investigación. Cada símbolo del sistema se basa en el símbolo del sistema anterior.

Para ejecutar el promptbook de investigación de incidentes de Microsoft Sentinel:

  1. Seleccione el botón Prompts (Avisos) en la barra de mensajes y empiece a escribir "incident investigation" (Investigación de incidentes) hasta que los cuadernos de mensajes aparezcan en la lista.

  2. Seleccione Investigación de incidentes de Microsoft Sentinel. (Para usar el complemento XDR de Microsoft Defender en su lugar, seleccione Investigación de incidentes XDR de Microsoft Defender). Captura de pantalla de la libreta de mensajes de análisis de scripts sospechosos.

  3. Proporcione el número de incidente que desea investigar en el cuadro de entrada que indica El identificador de incidente de Sentinel.

  4. A continuación, seleccione Ejecutar en la esquina superior izquierda del cuadro de diálogo.

  5. Espere a que Copilot para Seguridad ejecute el número de incidente a través de los distintos avisos. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Copilot for Security genera respuestas para cada una de las solicitudes, basándose en cada respuesta hasta que llega al último aviso.

  6. Lea las respuestas de Copilot for Security. El último aviso de Copilot for Security genera un informe ejecutivo que resume la investigación en función de las respuestas. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Perfil de actor de amenaza

El cuaderno de mensajes del perfil de actor de amenazas es una forma rápida de obtener un resumen ejecutivo sobre un actor de amenazas específico. El cuaderno de mensajes busca cualquier artículo de inteligencia sobre amenazas existente sobre el actor, incluidas herramientas, tácticas y procedimientos conocidos (TTP) e indicadores, incluidas sugerencias de corrección. A continuación, resume los resultados en un informe para lectores menos técnicos.

Para ejecutar el cuaderno de mensajes del perfil de actor de amenazas: 1.Seleccione el botón Prompts (Avisos) en la barra de mensajes y comience a escribir "perfil de actor de amenaza" hasta que los promptbooks aparezcan en la lista.

  1. Seleccione Perfil de actor de amenazas.
  2. Escriba el nombre del actor de amenazas en el cuadro de entrada que indica Nombre del actor de amenazas. Captura de pantalla de la libreta de mensajes del actor de amenazas.
  3. A continuación, seleccione el botón Ejecutar en la esquina superior izquierda del cuadro de diálogo.
  4. Espere a que Copilot para Seguridad ejecute el nombre del actor de amenaza a través de las diferentes indicaciones. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Copilot for Security genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.
  5. Lea la respuesta de Copilot para seguridad. El último aviso de Copilot for Security genera un informe fácil de leer que incluye información pertinente sobre el actor de amenazas identificado. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Análisis de scripts sospechosos

El cuaderno de mensajes de análisis de scripts sospechosos es útil cuando se investiga un script de línea de comandos de PowerShell o Windows. Por ejemplo, si un script de PowerShell estaba implicado en un incidente crítico en la red, puede copiar el cuerpo del script y ejecutar la libreta de mensajes para obtener más información al respecto.

Para ejecutar el cuaderno de mensajes: 1.Seleccione el botón Mensajes en la barra de mensajes y empiece a escribir "análisis de scripts sospechosos" hasta que los cuadernos de mensajes aparezcan en la lista.

  1. Seleccione Análisis de scripts sospechosos.

  2. Pegue la cadena de script que desea analizar en el cuadro de entrada que indica Script para analizar. Captura de pantalla que muestra el análisis de scripts sospechosos en una libreta de mensajes.

  3. A continuación, seleccione Ejecutar en la esquina superior izquierda del cuadro de diálogo.

  4. Espere a que Copilot para seguridad ejecute el contenido del script a través de las diferentes solicitudes. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Copilot for Security genera respuestas para cada una de las solicitudes, basándose en cada respuesta hasta que llega al último aviso.

  5. Lea las respuestas de Copilot for Security. El último aviso de Copilot for Security genera un informe completo de lo que hace el script, las actividades de amenazas relacionadas y los pasos siguientes recomendados en función de la evaluación sobre la intención del archivo. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Evaluación del impacto de vulnerabilidad

El promptbook de evaluación de impacto de vulnerabilidad acepta un número de CVE o un nombre de vulnerabilidad conocido para averiguar si la vulnerabilidad se ha divulgado o explotado públicamente y si la han usado los actores de amenazas en sus campañas. A continuación, puede proporcionar recomendaciones para abordar o mitigar la amenaza y resumir estos hallazgos en un resumen ejecutivo.

Para ejecutar este promptbook:

  1. Seleccione el botón Prompts (Avisos) en la barra de avisos y comience a escribir "vulnerability impact assessment" (Evaluación del impacto de vulnerabilidad) hasta que los cuadernos de mensajes aparezcan en la lista.
  2. Seleccione Evaluación de impacto de vulnerabilidad.
  3. Escriba el número de CVE o el nombre de vulnerabilidad común sobre el que desea obtener información en el cuadro de entrada que indica CVEID. Captura de pantalla de la lista de avisos de evaluación de impacto de vulnerabilidades.
  4. A continuación, seleccione el botón Ejecutar en la esquina superior izquierda del cuadro de diálogo.
  5. Espere a que Copilot para seguridad ejecute el nombre de vulnerabilidad o CVE a través de los distintos avisos. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Security Copilot genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.
  6. Lea la respuesta de Copilot for Security. El último aviso genera un informe fácil de leer sobre la vulnerabilidad. El informe incluye detalles sobre las actividades de explotación conocidas, incluidas las sugerencias de mitigación. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Visualización de la biblioteca de la libreta de mensajes

Tanto los cuadernos de mensajes creados previamente como los creados por el usuario en toda la organización aparecen en la biblioteca del libro de mensajes. Para ver los cuadernos de mensajes, vaya al menú Copilot y seleccione Biblioteca de promptbook.

Captura de pantalla de la biblioteca en el menú.

También puede seleccionar Ver biblioteca de promptbook en la página principal.

Captura de pantalla de la biblioteca en la página principal.

La biblioteca del cuaderno de mensajes muestra todos los promptbooks disponibles. Los cuadernos de mensajes aparecen por nombre y puede ver la descripción, el propietario, el número de mensajes, los complementos necesarios, las entradas y las etiquetas, si los hay.

Captura de pantalla de la biblioteca.

Seleccione el icono de lupa en la biblioteca promptbook de la región superior izquierda de la página. Escriba las primeras letras del título de la libreta de mensajes y espere a que se carguen los resultados.

También puede filtrar en función de las etiquetas.

Consulte también