Поделиться через

Запросы и сборники подсказок Microsoft Copilot в Microsoft Purview

  • Статья

Microsoft Copilot for Security — это автономный интерфейс чата, который помогает получать аналитические сведения из данных безопасности и устанавливать подключения между точками данных. Вы взаимодействуете с автономным интерфейсом, вводя запросы, и Copilot for Security возвращает результаты. В этой статье рассказывается об автономном интерфейсе и его использовании для получения аналитических сведений из данных Microsoft Purview.

Перед началом работы

Если вы не знакомы с Microsoft Copilot для безопасности, прочитайте следующие статьи, прежде чем создавать собственные запросы и книги подсказок:

Важно!

Необходимо включить подключаемый модуль Copilot для Purview, чтобы использовать запросы и книги подсказок Microsoft Purview. Выполните действия, описанные в статье Включение источника Microsoft Purview в Microsoft Copilot для безопасности

Запрос в Copilot в Microsoft Purview

Запросы можно использовать тремя разными способами:

Открытый завершен

Открытые оконченные запросы — это запросы, которые вы пишете самостоятельно без каких-либо предложений от Copilot for Security. Эти запросы можно использовать, чтобы задавать вопросы о данных, которые относятся к вашим потребностям в определенный момент времени или когда вам нужен настраиваемый запрос, который не охватывается предложениями запросов или книгой подсказок. Дополнительные сведения о создании твердых запросов см. в разделе Создание эффективных запросов.

Подсказки

Предложения подсказок — это предварительно созданные запросы, которые можно использовать в качестве отправной точки и настроить в соответствии с вашими потребностями. Они перечислены в списке всех возможностей системы. После включения надстройки Purview вам будут доступны эти подсказки.

Получение сводки по рискам данных извлекает сведения из Microsoft Purview Information Protection и Защиты от потери данных (DLP) Microsoft Purview, а также суммирует риск, связанный с данными, затронутыми инцидентом безопасности или оповещением защиты от потери данных.

Get User Risk Summary (Получить сводку о рисках пользователей ) содержит сводку риска, связанного с любым пользователем, с помощью профиля риска из Microsoft Purview Insider Risk Management.

Сводка оповещений Purview содержит дополнительные сведения об оповещении Purview, включая оповещение о защите от потери данных и оповещение об управлении внутренними рисками.

При рассмотрении оповещений Purview извлекаются первые или последние оповещения защиты от потери данных, упорядочивая оповещения защиты от потери данных на основе предпочтений пользователя.

Zoom Into Purview Data Risk извлекает информацию из Microsoft Purview Information Protection и DLP и помогает определить риски и атрибуты, связанные с данными.

В Purview User Risk извлекается информация о действиях пользователя, включая операции и действия, выполняемые пользователем, действия пользователя в течение определенного периода времени, утечка данных или кража данных пользователем, последовательные действия пользователя, а также любые признаки аномального или необычного поведения пользователя.

Книги запросов

Модуль командной строки — это набор запросов, которые находятся в последовательности. Автономный интерфейс может использовать выходные данные из одного запроса в качестве входных данных для следующего запроса и может запускать несколько запросов в последовательности. При использовании Copilot для безопасности с включенной надстройкой Microsoft Purview вы можете обнаружить, что вы продолжаете использовать одни и те же запросы снова и снова. Вы можете сэкономить время, собрав все эти запросы в книгу подсказок. Затем вы можете запустить модуль promptbook, чтобы получить все необходимые аналитические сведения за один раз. Вы можете ограничить использование сборника подсказок для себя или поделиться им с другими пользователями в вашей организации.

В этой статье приведены два примера наборов запросов, которые можно использовать для изучения данных microsoft Purview Data Prevention (DLP) и Microsoft Purview Insider Risk Management. Вы можете начать с этих запросов, а затем настроить их в соответствии с конкретными потребностями. После того как вы настроите их по своему желанию, вы можете создавать на их основе книги подсказок.

Выполнение запроса

  1. Перейдите в Microsoft Security Copilot и войдите в систему, используя свои учетные данные.
  2. По умолчанию должен быть включен подключаемый модуль Purview . Чтобы подтвердить, выберите Источники. В разделе Подключаемые модули убедитесь, что Microsoft Purview включен. Закройте источники.
  3. Перейдите к панели запроса.
  4. Введите запрос.

Например, введите:

  • Показать пять последних оповещений DLP с высоким уровнем серьезности или
  • Покажите мне риск, связанный с пользователем user@contoso.com.

Дополнительные сведения о создании твердых запросов см. в разделе Создание эффективных запросов.

Сборники подсказок для функций Microsoft Purview

Ниже приведены две последовательности запросов, которые можно использовать для изучения данных microsoft Purview Data Loss Prevention (DLP) и Microsoft Purview Insider Risk Management. Инструкции по созданию, совместному доступу и редактированию книги подсказок см. в статье Создание собственных модулей подсказок .

Примеры последовательностей запросов

Защита от потери данных в Microsoft Purview

  1. Покажите пять основных оповещений DLP с высоким уровнем серьезности.
  2. Подведите итоги по первому оповещению в списке.
  3. Какие действия были выполнены с файлом в оповещении?
  4. Кто является пользователем, связанным с оповещением?
  5. Каковы риски данных, связанные с оповещением?
  6. Какова сводка рисков пользователя?

Управление внутренними рисками Microsoft Purview

  1. Показать мне риск, связанный с пользователем user@contoso.com
  2. Покажите действия по краже для этого пользователя.
  3. Покажите мне последовательные действия для этого пользователя.
  4. Показать действия маскировки для этого пользователя.
  5. Показать все действия, выполненные этим пользователем за последние 30 дней.