Condividi tramite


Uso dei promptbook in Microsoft Copilot per la sicurezza

Che cosa sono i promptbook?

Copilot for Security include promptbook predefiniti, una serie di richieste che sono state messe insieme per eseguire attività specifiche correlate alla sicurezza. Possono funzionare in modo analogo ai playbook di sicurezza, ovvero flussi di lavoro pronti all'uso che possono fungere da modelli per automatizzare i passaggi ripetitivi, ad esempio per quanto riguarda la risposta agli eventi imprevisti o le indagini. Ogni promptbook predefinito richiede un input specifico, ad esempio un frammento di codice o un nome di attore di minaccia.

Per trovare i diversi promptbook, passare alla libreria promptbook o selezionare l'icona Richieste Screenshot dell'icona sparkle. Nella barra dei prompt. È quindi possibile cercare un promptbook o selezionare Visualizza tutti i promptbook per visualizzare tutto.

Guardare il video seguente per altre informazioni sui promptbook:

Indagine sugli eventi imprevisti

È possibile eseguire il prompt delle indagini sugli eventi imprevisti dopo aver fornito un numero di evento imprevisto al plug-in Microsoft Sentinel o Microsoft Defender XDR. Usare il promptbook appropriato per il plug-in che si vuole usare. I prompt delle indagini sugli eventi imprevisti contengono diverse richieste di generare un report esecutivo per un gruppo di destinatari non tecnici che riepiloga l'indagine. Ogni richiesta si basa sul prompt precedente.

Per eseguire il prompt delle indagini sugli eventi imprevisti Microsoft Sentinel:

  1. Selezionare il pulsante Richieste nella barra dei prompt e iniziare a digitare "incident investigation" fino a quando i promptbook non vengono visualizzati nell'elenco.

  2. Selezionare Microsoft Sentinel'indagine sugli eventi imprevisti. Per usare invece il plug-in Microsoft Defender XDR, selezionare Microsoft Defender XDR'indagine sugli eventi imprevisti. Screenshot del promptbook di analisi degli script sospetti.

  3. Specificare il numero dell'evento imprevisto da analizzare nella casella di input che indica Sentinel ID evento imprevisto.

  4. Selezionare quindi Esegui nell'angolo superiore sinistro della finestra di dialogo.

  5. Attendere che Copilot per la sicurezza eservi il numero dell'evento imprevisto tramite le diverse richieste. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Copilot for Security genera risposte per ogni richiesta, basandosi su ogni risposta fino all'ultimo prompt.

  6. Leggere le risposte di Copilot per la sicurezza. L'ultima richiesta di Copilot per la sicurezza genera un report esecutivo che riepiloga l'indagine in base alle risposte. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.

Profilo dell'attore di minacce

Il prompt del profilo dell'attore di minacce è un modo rapido per ottenere un riepilogo esecutivo su un attore di minacce specifico. Il promptbook cerca tutti gli articoli di intelligence sulle minacce esistenti relativi all'attore, inclusi strumenti noti, tattiche e procedure (TTP) e indicatori, inclusi i suggerimenti per la correzione. Riepiloga quindi i risultati in un report per lettori meno tecnici.

Per eseguire il prompt del profilo dell'attore di minacce:

  1. Selezionare il pulsante Richieste nella barra dei prompt e iniziare a digitare "profilo attore di minacce" fino a quando i promptbook non vengono visualizzati nell'elenco.
  2. Selezionare Profilo attore di minaccia.
  3. Digitare il nome dell'attore di minaccia nella casella di input che indica il nome dell'attore di minaccia. Screenshot del promptbook dell'attore di minacce.
  4. Selezionare quindi il pulsante Esegui nell'angolo superiore sinistro della finestra di dialogo.
  5. Attendere che Copilot per La sicurezza eservi il nome dell'attore di minacce tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Copilot for Security genera risposte per ogni richiesta e si basa su ognuna fino all'ultimo prompt.
  6. Leggere la risposta di Copilot per la sicurezza. L'ultima richiesta di Copilot per la sicurezza genera un report facilmente leggibile che include informazioni pertinenti sull'attore di minacce identificato. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.

Analisi di script sospetti

Il prompt dell'analisi degli script sospetti è utile quando si sta analizzando uno script da riga di comando di PowerShell o Windows. Ad esempio, se uno script di PowerShell è stato coinvolto in un evento imprevisto critico nella rete, è possibile copiare il corpo dello script ed eseguire il promptbook per saperne di più.

Per eseguire il promptbook: 1.Selezionare il pulsante Richieste nella barra dei prompt e iniziare a digitare "analisi script sospetta" fino a quando i promptbook non vengono visualizzati nell'elenco.

  1. Selezionare Analisi script sospetti.

  2. Incollare la stringa di script che si vuole analizzare nella casella di input che indica Script da analizzare. Screenshot che mostra l'analisi sospetta degli script in un promptbook.

  3. Selezionare quindi Esegui nell'angolo superiore sinistro della finestra di dialogo.

  4. Attendere che Copilot per la sicurezza eservi il contenuto dello script tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Copilot for Security genera risposte per ogni richiesta, basandosi su ogni risposta fino all'ultimo prompt.

  5. Leggere le risposte di Copilot per la sicurezza. L'ultima richiesta di Copilot per la sicurezza genera un report completo delle operazioni eseguite dallo script, delle eventuali attività di minaccia correlate e dei passaggi successivi consigliati in base alla valutazione della finalità del file. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.

Valutazione dell'impatto sulla vulnerabilità

Il prompt della valutazione dell'impatto sulla vulnerabilità accetta un numero CVE o un nome di vulnerabilità noto per scoprire se la vulnerabilità è stata divulgata o sfruttata pubblicamente e se è stata usata dagli attori delle minacce nelle loro campagne. Può quindi fornire consigli per affrontare o mitigare la minaccia e riepilogare questi risultati in un riepilogo esecutivo.

Per eseguire questo promptbook:

  1. Selezionare il pulsante Richieste nella barra della richiesta e iniziare a digitare "valutazione dell'impatto della vulnerabilità" fino a quando i promptbook non vengono visualizzati nell'elenco.
  2. Selezionare Valutazione dell'impatto sulla vulnerabilità.
  3. Digitare il numero CVE o il nome comune della vulnerabilità che si vuole conoscere nella casella di input che indica CVEID. Screenshot del prompt della valutazione dell'impatto sulla vulnerabilità.
  4. Selezionare quindi il pulsante Esegui nell'angolo superiore sinistro della finestra di dialogo.
  5. Attendere che Copilot per La sicurezza eservi il nome della vulnerabilità o CVE tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta e si basa su ognuna fino all'ultimo prompt.
  6. Leggere la risposta di Copilot per la sicurezza. L'ultima richiesta genera un report facilmente leggibile sulla vulnerabilità. Il report include informazioni dettagliate sulle attività di sfruttamento note, inclusi i suggerimenti di mitigazione. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.

Analisi utente Microsoft

Il prompt di analisi degli utenti Microsoft può essere usato da un Amministrazione IT per analizzare e ottenere informazioni dettagliate su un utente e sui dispositivi associati in più prodotti Microsoft 365. Sono inclusi i dati di accesso e autenticazione da Microsoft Entra ID, le informazioni sul dispositivo da Intune, dettagli insoliti sulle attività di Microsoft Purview e un riepilogo Microsoft Defender che evidenzia rilevamenti importanti.

Per ottenere una risposta completa da questo promptbook, è prima necessario attivare o assicurarsi di avere i ruoli seguenti:

  • Ruolo lettore globale per Microsoft Entra ID
  • Ruolo lettore di sicurezza per ENTRA ID, Intune e Defender
  • Ruolo di investigatore o analista di Insider Risk Management per Microsoft Purview

Per eseguire questo promptbook:

  1. Passare alla libreria Promptbook e cercare il promptbook analisi utenti Microsoft .
  2. Selezionare Avvia nuova sessione. Screenshot del promptbook di analisi utente Microsoft.
  3. Sono necessari gli input seguenti:
    • il nome dell'entità utente o l'UPN dell'utente
    • l'intervallo di tempo in cui si vuole che Copilot per la sicurezza cerchi le informazioni.
  4. Selezionare quindi il pulsante Invia nell'angolo superiore destro della finestra di dialogo.
  5. Attendere che Copilot per La sicurezza eservi gli input tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Copilot for Security genera risposte per ogni richiesta e si basa su ognuna fino all'ultimo prompt.
  6. Leggere la risposta di Copilot per la sicurezza. Usando la risposta dei prompt, è possibile dedurre più rapidamente se l'utente sottoposto a indagine ha eseguito attività sospette in modo da potersi concentrare sui passaggi successivi per la protezione del sistema.

Visualizzare la libreria promptbook

Sia i promptbook predefiniti che i promptbook predefiniti dell'organizzazione vengono visualizzati nella libreria di promptbook. Per visualizzare i promptbook, passare al menu Copilot for Security e selezionare Libreria promptbook.

Screenshot della raccolta nel menu.

È anche possibile selezionare Visualizza libreria promptbook nella home page.

Screenshot della raccolta nella home page.

Nella libreria promptbook vengono visualizzati tutti i promptbook disponibili. I promptbook sono elencati per nome ed è possibile visualizzare la descrizione, il proprietario, il numero di richieste, i plug-in, gli input e i tag necessari, se presenti.

Screenshot della raccolta.

Selezionare l'icona della lente di ingrandimento nella libreria Promptbook nell'area superiore sinistra della pagina. Digitare le prime lettere del titolo del promptbook e attendere il caricamento dei risultati.

È anche possibile filtrare in base ai tag.

Vedere anche