Condividi tramite

Uso dei promptbook in Microsoft Copilot per la sicurezza

  • Articolo

Che cosa sono i promptbook?

Copilot for Security include promptbook predefiniti, una serie di richieste che sono state messe insieme per eseguire attività specifiche correlate alla sicurezza. Possono funzionare in modo analogo ai playbook di sicurezza, ovvero flussi di lavoro pronti all'uso che possono fungere da modelli per automatizzare i passaggi ripetitivi, ad esempio per quanto riguarda la risposta agli eventi imprevisti o le indagini. Ogni promptbook predefinito richiede un input specifico, ad esempio un frammento di codice o un nome di attore di minaccia.

Per trovare i diversi promptbook, passare alla raccolta promptbook o selezionare l'icona Prompts icon Screenshot of sparkle icon (Screenshot dell'icona sparkle ) nella barra dei prompt. È quindi possibile cercare un promptbook o selezionare Visualizza tutti i promptbook per visualizzare tutto.

Guardare il video seguente per altre informazioni sui promptbook:

Indagine sugli eventi imprevisti

È possibile eseguire il prompt delle indagini sugli eventi imprevisti dopo aver fornito un numero di evento imprevisto al plug-in Microsoft Sentinel o Microsoft Defender XDR. Usare il promptbook appropriato per il plug-in che si vuole usare. I prompt delle indagini sugli eventi imprevisti contengono diverse richieste di generare un report esecutivo per un gruppo di destinatari non tecnici che riepiloga l'indagine. Ogni richiesta si basa sul prompt precedente.

Per eseguire il prompt delle indagini sugli eventi imprevisti di Microsoft Sentinel:

  1. Selezionare il pulsante Prompts nella barra dei prompt e iniziare a digitare "incident investigation" fino a quando i promptbook non vengono visualizzati nell'elenco.

  2. Selezionare Analisi degli eventi imprevisti di Microsoft Sentinel. Per usare invece il plug-in XDR di Microsoft Defender, selezionare Analisi degli eventi imprevisti di Microsoft Defender XDR. Screenshot del promptbook di analisi degli script sospetti.

  3. Specificare il numero dell'evento imprevisto da analizzare nella casella di input che indica l'ID evento imprevisto di Sentinel.

  4. Selezionare quindi Esegui nell'angolo superiore sinistro della finestra di dialogo.

  5. Attendere che Copilot per la sicurezza eservi il numero dell'evento imprevisto tramite le diverse richieste. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Copilot for Security genera risposte per ogni richiesta, basandosi su ogni risposta fino all'ultimo prompt.

  6. Leggere le risposte di Copilot per la sicurezza. L'ultima richiesta di Copilot per la sicurezza genera un report esecutivo che riepiloga l'indagine in base alle risposte. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.

Profilo dell'attore di minacce

Il prompt del profilo dell'attore di minacce è un modo rapido per ottenere un riepilogo esecutivo su un attore di minacce specifico. Il promptbook cerca tutti gli articoli di intelligence sulle minacce esistenti relativi all'attore, inclusi strumenti noti, tattiche e procedure (TTP) e indicatori, inclusi i suggerimenti per la correzione. Riepiloga quindi i risultati in un report per lettori meno tecnici.

Per eseguire il promptbook del profilo dell'attore di minacce: 1.Selezionare il pulsante Prompts nella barra dei prompt e iniziare a digitare "threat actor profile" fino a quando i promptbook non vengono visualizzati nell'elenco.

  1. Selezionare Profilo attore di minaccia.
  2. Digitare il nome dell'attore di minaccia nella casella di input che indica il nome dell'attore di minaccia. Screenshot del promptbook dell'attore di minacce.
  3. Selezionare quindi il pulsante Esegui nell'angolo superiore sinistro della finestra di dialogo.
  4. Attendere che Copilot per La sicurezza eservi il nome dell'attore di minacce tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Copilot for Security genera risposte per ogni richiesta e si basa su ognuna fino all'ultimo prompt.
  5. Leggere la risposta di Copilot per la sicurezza. L'ultima richiesta di Copilot per la sicurezza genera un report facilmente leggibile che include informazioni pertinenti sull'attore di minacce identificato. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.

Analisi di script sospetti

Il prompt dell'analisi degli script sospetti è utile quando si sta analizzando uno script da riga di comando di PowerShell o Windows. Ad esempio, se uno script di PowerShell è stato coinvolto in un evento imprevisto critico nella rete, è possibile copiare il corpo dello script ed eseguire il promptbook per saperne di più.

Per eseguire il promptbook: 1.Selezionare il pulsante Prompts nella barra dei prompt e iniziare a digitare "analisi script sospetta" fino a quando i promptbook non vengono visualizzati nell'elenco.

  1. Selezionare Analisi script sospetti.

  2. Incollare la stringa di script che si vuole analizzare nella casella di input che indica Script da analizzare. Screenshot che mostra l'analisi sospetta degli script in un promptbook.

  3. Selezionare quindi Esegui nell'angolo superiore sinistro della finestra di dialogo.

  4. Attendere che Copilot per la sicurezza eservi il contenuto dello script tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Copilot for Security genera risposte per ogni richiesta, basandosi su ogni risposta fino all'ultimo prompt.

  5. Leggere le risposte di Copilot per la sicurezza. L'ultima richiesta di Copilot per la sicurezza genera un report completo delle operazioni eseguite dallo script, delle eventuali attività di minaccia correlate e dei passaggi successivi consigliati in base alla valutazione della finalità del file. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.

Valutazione dell'impatto sulla vulnerabilità

Il prompt della valutazione dell'impatto sulla vulnerabilità accetta un numero CVE o un nome di vulnerabilità noto per scoprire se la vulnerabilità è stata divulgata o sfruttata pubblicamente e se è stata usata dagli attori delle minacce nelle loro campagne. Può quindi fornire consigli per affrontare o mitigare la minaccia e riepilogare questi risultati in un riepilogo esecutivo.

Per eseguire questo promptbook:

  1. Selezionare il pulsante Prompts (Richieste) nella barra dei prompt e iniziare a digitare "vulnerability impact assessment" (Valutazione dell'impatto della vulnerabilità) fino a quando i promptbook non vengono visualizzati nell'elenco.
  2. Selezionare Valutazione dell'impatto sulla vulnerabilità.
  3. Digitare il numero CVE o il nome comune della vulnerabilità che si vuole conoscere nella casella di input che indica CVEID. Screenshot del prompt della valutazione dell'impatto sulla vulnerabilità.
  4. Selezionare quindi il pulsante Esegui nell'angolo superiore sinistro della finestra di dialogo.
  5. Attendere che Copilot per La sicurezza eservi il nome della vulnerabilità o CVE tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta e si basa su ognuna fino a quando non arriva all'ultimo prompt.
  6. Leggere la risposta di Copilot per la sicurezza. L'ultima richiesta genera un report facilmente leggibile sulla vulnerabilità. Il report include informazioni dettagliate sulle attività di sfruttamento note, inclusi i suggerimenti di mitigazione. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.

Visualizzare la libreria promptbook

Sia i promptbook predefiniti che i promptbook predefiniti dell'organizzazione vengono visualizzati nella libreria di promptbook. Per visualizzare i promptbook, passare al menu Copilot e selezionare Libreria promptbook.

Screenshot della raccolta nel menu.

È anche possibile selezionare Visualizza libreria promptbook nella home page.

Screenshot della raccolta nella home page.

Nella libreria promptbook vengono visualizzati tutti i promptbook disponibili. I promptbook sono elencati per nome ed è possibile visualizzare la descrizione, il proprietario, il numero di richieste, i plug-in, gli input e i tag necessari, se presenti.

Screenshot della raccolta.

Selezionare l'icona della lente di ingrandimento nella libreria Promptbook nell'area superiore sinistra della pagina. Digitare le prime lettere del titolo del promptbook e attendere il caricamento dei risultati.

È anche possibile filtrare in base ai tag.

Vedere anche