Partager via

Utilisation de promptbooks dans Microsoft Copilot pour la sécurité

  • Article

Que sont les promptbooks ?

Copilot pour la sécurité est fourni avec des promptbooks prédéfinis, une série d’invites qui ont été rassemblées pour accomplir des tâches spécifiques liées à la sécurité. Ils peuvent fonctionner de la même manière que les playbooks de sécurité( workflows prêts à l’emploi qui peuvent servir de modèles pour automatiser des étapes répétitives) pour instance, en ce qui concerne la réponse aux incidents ou les enquêtes. Chaque promptbook prédéfini nécessite une entrée spécifique (par exemple, un extrait de code ou un nom d’acteur de menace).

Vous pouvez trouver les différents guides en accédant à la bibliothèque de promptbooks ou en sélectionnant l’icône sparkle Capture d’écran de l’icône sparkle. dans la barre d’invite. Vous pouvez ensuite rechercher un promptbook ou sélectionner Afficher tous les guides pour tout afficher.

Enquête sur les incidents

Vous pouvez exécuter le manuel d’invite d’investigation des incidents après avoir fourni un numéro d’incident au plug-in Microsoft Sentinel ou Microsoft Defender XDR. Utilisez le promptbook approprié pour le plug-in que vous souhaitez utiliser. Les guides d’enquête sur les incidents contiennent plusieurs invites pour générer un rapport exécutif pour un public non technique qui résume l’enquête. Chaque invite s’appuie sur l’invite précédente.

Pour exécuter le manuel d’invite d’investigation des incidents Microsoft Sentinel :

  1. Sélectionnez le bouton Invites dans la barre d’invite et commencez à taper « investigation d’incident » jusqu’à ce que les promptbooks apparaissent dans la liste.

  2. Sélectionnez Investigation des incidents Microsoft Sentinel. (Pour utiliser le plug-in Microsoft Defender XDR à la place, sélectionnez Microsoft Defender XDR investigation d’incident.) Capture d’écran d’un promptbook d’analyse de script suspecte.

  3. Indiquez le numéro d’incident que vous souhaitez examiner dans la zone d’entrée indiquant ID d’incident Sentinel.

  4. Ensuite, sélectionnez Exécuter dans le coin supérieur gauche de la boîte de dialogue.

  5. Attendez que Copilot pour la sécurité exécutez le numéro d’incident via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot pour la sécurité génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle accède à la dernière invite.

  6. Lisez les réponses par Copilot pour la sécurité. La dernière invite de Copilot pour la sécurité génère un rapport exécutif résumant l’enquête en fonction des réponses. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Profil d’acteur de menace

Le promptbook de profil d’acteur de menace est un moyen rapide d’obtenir un résumé exécutif sur un acteur de menace spécifique. Le manuel d’invite recherche tous les articles de renseignement sur les menaces existants sur l’acteur, y compris les outils, tactiques et procédures connus (TDP) et les indicateurs, y compris les suggestions de correction. Il résume ensuite les résultats dans un rapport destiné aux lecteurs moins techniques.

Pour exécuter le guide d’invite du profil d’acteur de menace : 1.Sélectionnez le bouton Invites dans la barre d’invite et commencez à taper « profil d’acteur de menace » jusqu’à ce que les promptbooks apparaissent dans la liste.

  1. Sélectionnez Profil d’acteur de menace.
  2. Tapez le nom de l’acteur de menace dans la zone d’entrée qui indique Nom de l’acteur de menace. Capture d’écran du guide d’invite de l’acteur des menaces.
  3. Ensuite, sélectionnez le bouton Exécuter dans le coin supérieur gauche de la boîte de dialogue.
  4. Attendez que Copilot pour la sécurité exécutez le nom de l’acteur de menace via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot pour la sécurité génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.
  5. Lisez la réponse par Copilot pour la sécurité. La dernière invite de Copilot pour la sécurité génère un rapport facilement lisible qui inclut des informations pertinentes sur l’acteur de menace identifié. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Analyse des scripts suspects

Le manuel d’invite d’analyse de script suspect est utile lorsque vous examinez un script de ligne de commande PowerShell ou Windows. Par exemple, si un script PowerShell a été impliqué dans un incident critique dans votre réseau, vous pouvez copier le corps du script et exécuter le manuel d’invite pour en savoir plus.

Pour exécuter le manuel d’invite : 1.Sélectionnez le bouton Invites dans la barre d’invite et commencez à taper « analyse de script suspecte » jusqu’à ce que les promptbooks apparaissent dans la liste.

  1. Sélectionnez Analyse de script suspecte.

  2. Collez la chaîne de script que vous souhaitez analyser dans la zone d’entrée indiquant Script à analyser. Capture d’écran montrant une analyse de script suspecte dans un manuel d’invite.

  3. Ensuite, sélectionnez Exécuter dans le coin supérieur gauche de la boîte de dialogue.

  4. Attendez que Copilot pour la sécurité exécutez le contenu du script via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot pour la sécurité génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle accède à la dernière invite.

  5. Lisez les réponses par Copilot pour la sécurité. La dernière invite de Copilot pour la sécurité génère un rapport complet sur ce que fait le script, toutes les activités liées aux menaces et les étapes suivantes recommandées en fonction de l’évaluation de l’intention du fichier. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Évaluation de l’impact sur les vulnérabilités

Le promptbook d’évaluation de l’impact sur les vulnérabilités accepte un numéro CVE ou un nom de vulnérabilité connu pour déterminer si la vulnérabilité a été divulguée ou exploitée publiquement et si elle a été utilisée par les acteurs des menaces dans leurs campagnes. Il peut ensuite fournir des recommandations pour traiter ou atténuer la menace et résumer ces résultats dans un résumé exécutif.

Pour exécuter ce manuel d’invite :

  1. Sélectionnez le bouton Invites dans la barre d’invite et commencez à taper « Évaluation de l’impact sur les vulnérabilités » jusqu’à ce que les promptbooks apparaissent dans la liste.
  2. Sélectionnez Évaluation de l’impact sur les vulnérabilités.
  3. Tapez le numéro CVE ou le nom de vulnérabilité commune que vous souhaitez découvrir dans la zone d’entrée indiquant CVEID. Capture d’écran du manuel d’invite sur l’évaluation de l’impact des vulnérabilités.
  4. Ensuite, sélectionnez le bouton Exécuter dans le coin supérieur gauche de la boîte de dialogue.
  5. Attendez que Copilot pour la sécurité exécutez le nom de la vulnérabilité ou CVE via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Security Copilot génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.
  6. Lisez la réponse de Copilot pour la sécurité. La dernière invite génère un rapport facilement lisible sur la vulnérabilité. Le rapport contient des détails sur les activités d’exploitation connues, y compris des suggestions d’atténuation. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Afficher la bibliothèque de promptbooks

Les promptbooks prédéfinis et créés par l’utilisateur dans votre organization s’affichent dans la bibliothèque de promptbooks. Affichez les guides en accédant au menu Copilot et en sélectionnant Promptbook library ( Bibliothèque de livres d’invite).

Capture d’écran de la bibliothèque dans le menu.

Vous pouvez également sélectionner Afficher la bibliothèque de guides sur la page d’accueil.

Capture d’écran de la bibliothèque dans la page d’accueil.

La bibliothèque promptbook affiche tous les promptbooks disponibles. Les promptbooks sont répertoriés par nom, et vous pouvez afficher la description, le propriétaire, le nombre d’invites, les plug-ins, les entrées et les balises nécessaires, le cas échéant.

Capture d’écran de la bibliothèque.

Sélectionnez l’icône de loupe dans la bibliothèque promptbook dans la région supérieure gauche de la page. Tapez les premières lettres du titre de votre promptbook et attendez que les résultats se chargent.

Vous pouvez également filtrer en fonction des balises.

Voir aussi