Поделиться через


Использование модулей командной строки в Microsoft Copilot для безопасности

Что такое модули командной строки?

Copilot for Security поставляется с предварительно созданными модулями командной строки— серией запросов, которые были собраны для выполнения конкретных задач, связанных с безопасностью. Они могут функционировать аналогично сборникам схем безопасности — готовым к использованию рабочим процессам, которые могут служить шаблонами для автоматизации повторяющихся шагов, например в отношении реагирования на инциденты или расследований. Для каждого предварительно созданного модуля командной строки требуются определенные входные данные (например, фрагмент кода или имя субъекта угроз).

Различные книги подсказок можно найти, перейдя в библиотеку promptbook или выбрав значок "Запросы На панели запросов. Затем можно выполнить поиск по запросу или выбрать Просмотреть все книги подсказок , чтобы просмотреть все.

Просмотрите следующее видео, чтобы узнать больше о модулях командной строки:

Исследование инцидента

Вы можете запустить сборник запросов на исследование инцидентов, указав номер инцидента для подключаемого модуля Microsoft Sentinel или Microsoft Defender XDR. Используйте соответствующий модуль командной строки для подключаемого модуля, который вы хотите использовать. Сборники подсказок по расследованию инцидентов содержат несколько подсказок для создания исполнительного отчета для нетехнической аудитории, в котором приводится сводка исследования. Каждый запрос основан на предыдущем запросе.

Чтобы запустить сборник запросов на исследование инцидентов Microsoft Sentinel, выполните следующие действия.

  1. Нажмите кнопку Запросы на панели запросов и начните вводить "исследование инцидента", пока в списке не появятся книги подсказок.

  2. Выберите Microsoft Sentinel incident investigation (Исследование инцидентов Microsoft Sentinel). (Чтобы использовать подключаемый модуль XDR в Microsoft Defender, выберите Исследование инцидентов XDR в Microsoft Defender.) Снимок экрана: модуль командной строки для анализа подозрительных скриптов.

  3. Укажите номер инцидента, который вы хотите исследовать, в поле ввода, где указано Идентификатор инцидента Sentinel.

  4. Затем выберите Выполнить в левом верхнем углу диалогового окна.

  5. Дождитесь, пока Copilot for Security выполнит номер инцидента с помощью различных запросов. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Copilot for Security создает ответы для каждого запроса, основываясь на каждом ответе, пока не дойдет до последнего запроса.

  6. Прочитайте ответы Copilot for Security. Последний запрос От Copilot for Security создает исполнительный отчет, содержащий сводку исследования на основе ответов. Проверьте и убедитесь, что ответы являются точными и соответствуют ли вашим потребностям.

Профиль субъекта угроз

Модуль командной строки профиля субъекта угроз — это быстрый способ получить сводку о конкретном субъекте угроз. В сборнике запросов будут искаться все существующие статьи об аналитике угроз об субъекте, включая известные инструменты, тактики и процедуры (TTP) и индикаторы, включая предложения по исправлению. Затем он суммирует результаты в отчет для менее технических читателей.

Чтобы запустить модуль командной строки профиля субъекта угроз: 1. Нажмите кнопку Запросы на панели запросов и начните вводить "профиль субъекта угроз", пока в списке не появятся книги подсказок.

  1. Выберите Профиль субъекта угроз.
  2. Введите имя субъекта угроз во входном поле, в поле имя субъекта угроз. Снимок экрана: модуль командной строки субъекта угроз.
  3. Затем нажмите кнопку Выполнить в левом верхнем углу диалогового окна.
  4. Дождитесь, пока Copilot for Security выполнит имя субъекта угрозы через различные запросы. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Copilot для безопасности создает ответы для каждого запроса и выполняет сборку на основе каждого запроса, пока не перейдет к последнему запросу.
  5. Прочитайте ответ Copilot for Security. При последнем запросе Copilot for Security создается легко читаемый отчет, содержащий соответствующие сведения об обнаруженном субъекте угрозы. Проверьте и убедитесь, что ответы являются точными и соответствуют ли вашим потребностям.

Анализ подозрительных скриптов

Модуль командной строки для анализа подозрительных скриптов полезен при изучении сценария командной строки PowerShell или Windows. Например, если сценарий PowerShell участвовал в критическом инциденте в сети, можно скопировать текст скрипта и запустить модуль promptbook, чтобы узнать больше о нем.

Чтобы запустить модуль командной строки: 1.Нажмите кнопку Запросы на панели запросов и начните вводить "анализ подозрительных сценариев", пока в списке не появятся книги подсказок.

  1. Выберите Анализ подозрительных скриптов.

  2. Вставьте строку скрипта, которую требуется проанализировать, в поле ввода с надписью Скрипт для анализа. Снимок экрана: анализ подозрительных скриптов в promptbook.

  3. Затем выберите Выполнить в левом верхнем углу диалогового окна.

  4. Дождитесь, пока Copilot for Security запустит содержимое скрипта с помощью различных запросов. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Copilot for Security создает ответы для каждого запроса, основываясь на каждом ответе, пока не дойдет до последнего запроса.

  5. Прочитайте ответы Copilot for Security. Последний запрос От Copilot for Security создает полный отчет о действиях скрипта, любых связанных действиях с угрозами и рекомендуемых дальнейших шагах на основе оценки намерения файла. Проверьте и убедитесь, что ответы являются точными и соответствуют ли вашим потребностям.

Оценка влияния уязвимостей

В справочнике по оценке влияния уязвимостей принимается номер CVE или известное имя уязвимости, чтобы узнать, была ли уязвимость публично раскрыта или использована ли она субъектами угроз в своих кампаниях. Затем он может предоставить рекомендации по устранению или устранению угрозы и свести эти результаты в сводку.

Чтобы запустить этот модуль командной строки, выполните приведенные ниже действия.

  1. Нажмите кнопку Запросы на панели запросов и начинайте вводить "оценка влияния уязвимостей", пока в списке не появятся книги подсказок.
  2. Выберите Оценка влияния уязвимостей.
  3. Введите номер CVE или общее имя уязвимости, о котором вы хотите узнать, в поле ввода с указанием CVEID. Снимок экрана: справочник по оценке влияния уязвимостей.
  4. Затем нажмите кнопку Выполнить в левом верхнем углу диалогового окна.
  5. Дождитесь, пока Copilot for Security запустит имя уязвимости или CVE через различные запросы. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Security Copilot создает ответы для каждого запроса и выполняет сборку по каждому запросу, пока не перейдет к последнему запросу.
  6. Прочитайте ответ от Copilot for Security. Последний запрос создает легко читаемый отчет об уязвимости. Отчет содержит сведения об известных действиях по эксплуатации, включая предложения по устранению рисков. Проверьте и убедитесь, что ответы являются точными и соответствуют ли вашим потребностям.

Просмотр библиотеки promptbook

В библиотеке promptbook отображаются как готовые, так и пользовательские модули командной строки в вашей организации. Просмотрите книги подсказок, перейдя в меню Copilot и выбрав библиотеку Promptbook.

Снимок экрана: библиотека в меню.

На домашней странице также можно выбрать Просмотреть библиотеку promptbook .

Снимок экрана: библиотека на домашней странице.

В библиотеке promptbook отображаются все доступные вам модули командной строки. Книги подсказок перечислены по имени, и вы можете просмотреть описание, владельца, количество запросов, необходимые подключаемые модули, входные данные и теги, если таковые имеются.

Снимок экрана: библиотека.

Щелкните значок лупы в библиотеке Promptbook в левой верхней области страницы. Введите первые несколько букв заголовка книги подсказок и дождитесь загрузки результатов.

Вы также можете фильтровать по тегам.

См. также