Utilisation de promptbooks dans Microsoft Copilot pour la sécurité
Que sont les promptbooks ?
Copilot for Security est fourni avec des promptbooks prédéfinis, une série d’invites qui ont été rassemblées pour accomplir des tâches spécifiques liées à la sécurité. Ils peuvent fonctionner de la même manière que les playbooks de sécurité( workflows prêts à l’emploi qui peuvent servir de modèles pour automatiser des étapes répétitives) pour instance, en ce qui concerne la réponse aux incidents ou les enquêtes. Chaque promptbook prédéfini nécessite une entrée spécifique (par exemple, un extrait de code ou un nom d’acteur de menace).
Vous pouvez trouver les différents guides en accédant à la bibliothèque de promptbooks ou en sélectionnant l’icône Requêtes dans la barre d’invite. Vous pouvez ensuite rechercher un promptbook ou sélectionner Afficher tous les guides pour tout afficher.
Regardez la vidéo suivante pour en savoir plus sur les guides :
Enquête sur les incidents
Vous pouvez exécuter le promptbook d’investigation des incidents après avoir fourni un numéro d’incident au Microsoft Sentinel ou au plug-in Microsoft Defender XDR. Utilisez le promptbook approprié pour le plug-in que vous souhaitez utiliser. Les guides d’enquête sur les incidents contiennent plusieurs invites pour générer un rapport exécutif pour un public non technique qui résume l’enquête. Chaque invite s’appuie sur l’invite précédente.
Pour exécuter le promptbook d’investigation des incidents Microsoft Sentinel :
Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « Investigation d’incident » jusqu’à ce que les guides apparaissent dans la liste.
Sélectionnez Microsoft Sentinel investigation d’incident. (Pour utiliser le plug-in Microsoft Defender XDR à la place, sélectionnez Microsoft Defender XDR investigation d’incident.)
Indiquez le numéro d’incident que vous souhaitez examiner dans la zone d’entrée indiquant Sentinel ID d’incident.
Ensuite, sélectionnez Exécuter dans le coin supérieur gauche de la boîte de dialogue.
Attendez que Copilot for Security exécute le numéro d’incident via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot for Security génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle arrive à la dernière invite.
Lisez les réponses de Copilot for Security. La dernière invite de Copilot for Security génère un rapport exécutif résumant l’enquête en fonction des réponses. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.
Profil d’acteur de menace
Le promptbook de profil d’acteur de menace est un moyen rapide d’obtenir un résumé exécutif sur un acteur de menace spécifique. Le manuel d’invite recherche tous les articles de renseignement sur les menaces existants sur l’acteur, y compris les outils, tactiques et procédures connus (TDP) et les indicateurs, y compris les suggestions de correction. Il résume ensuite les résultats dans un rapport destiné aux lecteurs moins techniques.
Pour exécuter le promptbook du profil d’acteur de menace : 1.Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « profil d’acteur de menace » jusqu’à ce que les promptbooks apparaissent dans la liste.
- Sélectionnez Profil d’acteur de menace.
- Tapez le nom de l’acteur de menace dans la zone d’entrée qui indique Nom de l’acteur de menace.
- Ensuite, sélectionnez le bouton Exécuter dans le coin supérieur gauche de la boîte de dialogue.
- Attendez que Copilot for Security exécute le nom de l’acteur de menace via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot for Security génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.
- Lisez la réponse de Copilot pour la sécurité. La dernière invite de Copilot for Security génère un rapport facilement lisible qui inclut des informations pertinentes sur l’acteur de menace identifié. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.
Analyse des scripts suspects
Le manuel d’invite d’analyse de script suspect est utile lorsque vous examinez un script de ligne de commande PowerShell ou Windows. Par exemple, si un script PowerShell a été impliqué dans un incident critique dans votre réseau, vous pouvez copier le corps du script et exécuter le manuel d’invite pour en savoir plus.
Pour exécuter le manuel d’invite : 1.Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « analyse de script suspecte » jusqu’à ce que les promptbooks apparaissent dans la liste.
Sélectionnez Analyse de script suspecte.
Collez la chaîne de script que vous souhaitez analyser dans la zone d’entrée indiquant Script à analyser.
Ensuite, sélectionnez Exécuter dans le coin supérieur gauche de la boîte de dialogue.
Attendez que Copilot for Security exécute le contenu du script via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot for Security génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle arrive à la dernière invite.
Lisez les réponses de Copilot for Security. La dernière invite de Copilot for Security génère un rapport complet sur ce que fait le script, toutes les activités liées aux menaces et les étapes suivantes recommandées en fonction de l’évaluation de l’intention du fichier. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.
Évaluation de l’impact sur les vulnérabilités
Le promptbook d’évaluation de l’impact sur les vulnérabilités accepte un numéro CVE ou un nom de vulnérabilité connu pour déterminer si la vulnérabilité a été divulguée ou exploitée publiquement et si elle a été utilisée par les acteurs des menaces dans leurs campagnes. Il peut ensuite fournir des recommandations pour traiter ou atténuer la menace et résumer ces résultats dans un résumé exécutif.
Pour exécuter ce manuel d’invite :
- Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « Évaluation de l’impact des vulnérabilités » jusqu’à ce que les guides apparaissent dans la liste.
- Sélectionnez Évaluation de l’impact sur les vulnérabilités.
- Tapez le numéro CVE ou le nom de vulnérabilité commune que vous souhaitez découvrir dans la zone d’entrée indiquant CVEID.
- Ensuite, sélectionnez le bouton Exécuter dans le coin supérieur gauche de la boîte de dialogue.
- Attendez que Copilot for Security exécute le nom de la vulnérabilité ou CVE via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Sécurité Copilot génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.
- Lisez la réponse de Copilot for Security. La dernière invite génère un rapport facilement lisible sur la vulnérabilité. Le rapport contient des détails sur les activités d’exploitation connues, y compris des suggestions d’atténuation. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.
Afficher la bibliothèque de promptbooks
Les promptbooks prédéfinis et créés par l’utilisateur dans votre organization s’affichent dans la bibliothèque de promptbooks. Affichez les guides en accédant au menu Copilot et en sélectionnant Promptbook library ( Bibliothèque de livres d’invite).
Vous pouvez également sélectionner Afficher la bibliothèque de guides sur la page d’accueil.
La bibliothèque promptbook affiche tous les promptbooks disponibles. Les promptbooks sont répertoriés par nom, et vous pouvez afficher la description, le propriétaire, le nombre d’invites, les plug-ins, les entrées et les balises nécessaires, le cas échéant.
Sélectionnez l’icône de loupe dans la bibliothèque promptbook dans la région supérieure gauche de la page. Tapez les premières lettres du titre de votre promptbook et attendez que les résultats se chargent.
Vous pouvez également filtrer en fonction des balises.