在 Microsoft Copilot for Security 中使用提示書
什麼是提示簿?
Copilot for Security 隨附預先建置的提示書,這是一系列的提示,已整合在一起以完成特定的安全性相關工作。 它們的運作方式與安全性劇本類似,例如,可做為範本的現成使用工作流程,以自動化重複步驟,例如事件回應或調查。 每個預先建置的提示書都需要特定的輸入 (例如代碼段或威脅執行者名稱) 。
您可以移至 promptbook 連結庫 ,或選取提示圖示[ ],在提示列中找到不同的提示書。 然後,您可以搜尋提示書,或選取 [查看所有提示], 以檢視所有提示。
觀看下列影片以深入瞭解提示書:
事件調查
您可以在將事件編號提供給 Microsoft Sentinel 或 Microsoft Defender XDR 外掛程式之後,執行事件調查提示簿。 針對您想要使用的外掛程式使用適當的提示簿。 事件調查提示書包含數個提示,可為摘要調查之非技術對象產生執行報告。 每個提示都是以上一個提示為基礎。
若要執行 Microsoft Sentinel 事件調查提示簿:
選取提示列中的 [提示] 按鈕,然後開始輸入「事件調查」,直到提示書出現在清單中為止。
選取 [Microsoft Sentinel 事件調查]。 (若要改用 Microsoft Defender XDR 外掛程式,請選取 [Microsoft Defender XDR 事件調查]。)
在顯示 Sentinel 事件識別碼的輸入方塊中,提供您想要調查的事件編號。
接下來 ,選取 對話框左上角的 [執行]。
等候 Copilot for Security 透過不同的提示執行事件編號。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Copilot for Security 會針對每個提示產生回應,並在每個回應上建置,直到到達最後一個提示為止。
閱讀 Copilot for Security 的回應。 Copilot for Security 的最後一個提示會產生一份執行報告,以根據回應來摘要調查。 檢閱並驗證回應是否正確且符合您的需求。
威脅動作專案配置檔
威脅動作專案配置檔提示書是快速取得特定威脅執行者相關執行摘要的方法。 此提示書會尋找有關動作專案的任何現有威脅情報文章,包括已知的工具、策略和程式 (TTP) 和指標,包括補救建議。 然後,它會將結果摘要到較不具有技術性讀取器的報表中。
若要執行威脅動作專案配置檔提示書:1.選取提示列中的 [提示] 按鈕,然後開始輸入「威脅動作專案配置檔」,直到提示書出現在清單中為止。
- 選取 [威脅動作專案配置檔]。
- 在顯示威脅動作專案名稱的輸入方塊中,輸入 威脅執行者的名稱。
- 接下來, 選取對話 框左上角的 [執行] 按鈕。
- 等候 Copilot for Security 透過不同的提示執行威脅動作項目名稱。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Copilot for Security 會針對每個提示產生回應,並在每個提示上建置,直到到達最後一個提示為止。
- 讀取 Copilot for Security 的回應。 Copilot for Security 的最後一個提示會產生容易讀取的報告,其中包含已識別威脅執行者的相關信息。 檢閱並驗證回應是否正確且符合您的需求。
可疑的腳本分析
當您調查 PowerShell 或 Windows 命令行腳本時,可疑的腳本分析提示字元書很有用。 例如,如果 PowerShell 腳本牽涉到您網路中的重大事件,您可以複製腳本的本文並執行提示書以深入瞭解。
若要執行提示書:1.選取提示列中的 [提示] 按鈕,然後開始輸入「可疑的腳本分析」,直到提示書出現在清單中為止。
選取 [可疑的腳本分析]。
接下來 ,選取 對話框左上角的 [執行]。
等候 Copilot for Security 透過不同的提示執行腳本內容。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Copilot for Security 會針對每個提示產生回應,並在每個回應上建置,直到到達最後一個提示為止。
閱讀 Copilot for Security 的回應。 Copilot for Security 的最後一個提示會根據檔案意圖的評估,產生腳本用途、任何相關威脅活動,以及建議的後續步驟的完整報告。 檢閱並驗證回應是否正確且符合您的需求。
弱點影響評估
弱點影響評估提示簿會接受 CVE 編號或已知的弱點名稱,以瞭解弱點是否已公開揭露或惡意探索,以及威脅執行者是否已在其活動中使用該弱點。 然後,它可以提供解決或降低威脅的建議,並在執行摘要中摘要說明這些結果。
若要執行此提示書:
- 選取提示列中的 [提示] 按鈕,然後開始輸入「弱點影響評估」,直到提示書出現在清單中為止。
- 選取 [弱點影響評估]。
- 在輸入方塊中輸入 CVEID,輸入您想要瞭解的 CVE 編號或常見弱點名稱。
- 接下來, 選取對話 框左上角的 [執行] 按鈕。
- 等候 Copilot for Security 透過不同的提示執行弱點名稱或 CVE。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Security Copilot 會為每個提示產生回應,並在每個提示上建置,直到到達最後一個提示為止。
- 從 Copilot for Security 讀取回應。 最後一個提示會產生易於閱讀的弱點報告。 此報告包含已知惡意探索活動的詳細數據,包括風險降低建議。 檢閱並驗證回應是否正確且符合您的需求。
檢視 promptbook 連結庫
整個組織的預先建置和用戶建置的提示書都會出現在 promptbook 連結庫中。 移至 [Copilot] 功能表並選取 [ Promptbook 連結庫],以檢視提示書。
您也可以在首頁上選 取 [檢視提示書連結庫 ]。
promptbook 連結庫會顯示所有可供您使用的提示書。 提示書會依名稱列出,如果有的話,您可以檢視描述、擁有者、提示數目、必要的外掛程式、輸入和標籤。
在頁面左上方區域的 Promptbook 連結庫 中,選取放大鏡圖示。 輸入提示書標題的前幾個字母,並等候載入結果。
您也可以根據標籤進行篩選。