Utilizar promptbooks no Microsoft Copilot for Security
O que são os promptbooks?
O Copilot for Security inclui promptbooks pré-criados, uma série de pedidos que foram criados para realizar tarefas específicas relacionadas com segurança. Podem funcionar de forma semelhante à dos manuais de procedimentos de segurança , fluxos de trabalho prontos a utilizar que podem servir de modelos para automatizar passos repetitivos, por exemplo, no que diz respeito à resposta a incidentes ou investigações. Cada promptbook pré-criado requer uma entrada específica (por exemplo, um fragmento de código ou um nome de ator de ameaças).
Pode encontrar os diferentes promptbooks ao aceder à biblioteca do promptbook ou ao selecionar o ícone Pedidos Na barra de pedidos. Em seguida, pode procurar um promptbook ou selecionar Ver todos os promptbooks para ver todos.
Veja o seguinte vídeo para saber mais sobre os promptbooks:
Investigação de incidentes
Pode executar o promptbook de investigação de incidentes depois de fornecer um número de incidente ao plug-in do Microsoft Sentinel ou do Microsoft Defender XDR. Utilize o promptbook adequado para o plug-in que pretende utilizar. Os promptbooks de investigação de incidentes contêm vários pedidos para gerar um relatório executivo para uma audiência não tecnológica que resume a investigação. Cada pedido é baseado na linha de comandos anterior.
Para executar o promptbook de investigação de incidentes do Microsoft Sentinel:
Selecione o botão Pedidos na barra de pedidos e comece a escrever "investigação de incidentes" até que os promptbooks apareçam na lista.
Selecione Investigação de incidentes do Microsoft Sentinel. (Em vez disso, para utilizar o plug-in XDR do Microsoft Defender, selecione Investigação de incidentes XDR do Microsoft Defender.)
Indique o número do incidente que pretende investigar na caixa de entrada que diz ID do Incidente do Sentinel.
Em seguida, selecione Executar no canto superior esquerdo da caixa de diálogo.
Aguarde que a Segurança execute o número do incidente através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. O Copilot for Security gera respostas para cada um dos pedidos, com base em cada resposta até chegar à última linha de comandos.
Leia as respostas de Copilot for Security. O último pedido de Copilot for Security gera um relatório executivo que resume a investigação com base nas respostas. Analise e verifique se as respostas são precisas e atendem às suas necessidades.
Perfil de ator de ameaças
O promptbook do perfil do ator de ameaças é uma forma rápida de obter um resumo executivo sobre um ator de ameaças específico. O promptbook procura quaisquer artigos de informações sobre ameaças existentes sobre o ator, incluindo ferramentas conhecidas, táticas e procedimentos (TTPs) e indicadores, incluindo sugestões de remediação. Em seguida, resume as conclusões num relatório para leitores menos técnicos.
Para executar o promptbook do perfil do ator de ameaças: 1. Selecione o botão Pedidos na barra de pedidos e comece a escrever "perfil de ator de ameaças" até que os promptbooks apareçam na lista.
- Selecione Perfil de ator de ameaças.
- Escreva o nome do ator de ameaças na caixa de entrada que diz Nome do ator de ameaças.
- Em seguida, selecione o botão Executar no canto superior esquerdo da caixa de diálogo.
- Aguarde que a Segurança execute o nome do ator de ameaças através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. O Copilot for Security gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.
- Leia a resposta do Microsoft Copilot para Segurança. O último pedido de Copilot for Security gera um relatório facilmente legível que inclui informações pertinentes sobre o ator de ameaças identificado. Analise e verifique se as respostas são precisas e atendem às suas necessidades.
Análise de scripts suspeitos
O promptbook de análise de script suspeito é útil quando está a investigar um script da linha de comandos do PowerShell ou do Windows. Por exemplo, se um script do PowerShell estiver envolvido num incidente crítico na sua rede, pode copiar o corpo do script e executar o promptbook para saber mais sobre o mesmo.
Para executar o promptbook: 1.Selecione o botão Pedidos na barra de pedidos e comece a escrever "análise de script suspeita" até que os promptbooks apareçam na lista.
Selecione Análise de scripts suspeitos.
Cole a cadeia de script que pretende analisar na caixa de entrada a indicar Script a analisar.
Em seguida, selecione Executar no canto superior esquerdo da caixa de diálogo.
Aguarde que a Segurança execute o conteúdo do script através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. O Copilot for Security gera respostas para cada um dos pedidos, com base em cada resposta até chegar à última linha de comandos.
Leia as respostas de Copilot for Security. O último pedido da Copilot for Security gera um relatório completo do que o script faz, quaisquer atividades relacionadas com ameaças e passos seguintes recomendados com base na avaliação sobre a intenção do ficheiro. Analise e verifique se as respostas são precisas e atendem às suas necessidades.
Avaliação do impacto de vulnerabilidades
O promptbook de avaliação do impacto de vulnerabilidades aceita um número CVE ou um nome de vulnerabilidade conhecido para descobrir se a vulnerabilidade foi divulgada ou explorada publicamente e se foi utilizada por atores de ameaças nas suas campanhas. Em seguida, pode fornecer recomendações para resolver ou mitigar a ameaça e resumir estas conclusões num resumo executivo.
Para executar este promptbook:
- Selecione o botão Pedidos na barra de pedidos e comece a escrever "avaliação do impacto de vulnerabilidades" até que os promptbooks apareçam na lista.
- Selecione Avaliação do impacto de vulnerabilidades.
- Escreva o número CVE ou o nome de vulnerabilidade comum sobre o qual pretende obter informações na caixa de entrada a indicar CVEID.
- Em seguida, selecione o botão Executar no canto superior esquerdo da caixa de diálogo.
- Aguarde que a Segurança execute o nome da vulnerabilidade ou o CVE através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. O Copilot de Segurança gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.
- Leia a resposta de Copilot for Security. O último pedido gera um relatório facilmente legível sobre a vulnerabilidade. O relatório inclui detalhes sobre atividades de exploração conhecidas, incluindo sugestões de mitigação. Analise e verifique se as respostas são precisas e atendem às suas necessidades.
Ver a biblioteca do promptbook
Os promptbooks pré-criados e criados pelo utilizador em toda a sua organização aparecem na biblioteca do promptbook. Veja os promptbooks ao aceder ao menu Copilot e selecionar Biblioteca do Promptbook.
Também pode selecionar Ver biblioteca de promptbooks na home page.
A biblioteca do promptbook apresenta todos os promptbooks disponíveis para si. Os promptbooks são listados pelo nome e pode ver a descrição, o proprietário, o número de pedidos, os plug-ins, entradas e etiquetas necessários, se existirem.
Selecione o ícone de lupa na biblioteca do Promptbook na região superior esquerda da página. Escreva as primeiras letras do título do seu promptbook e aguarde que os resultados sejam carregados.
Também pode filtrar com base em etiquetas.