Security Copilot 附有預先建構的提示本,這些提示集是為了完成特定安全相關任務而組合的。 它們可以像安全操作手冊一樣運作——即用的工作流程,作為範本,自動化重複步驟,例如事件應變或調查相關。 每個預設的提示本都需要特定的輸入 (例如程式碼片段或威脅行為者名稱) 。
查看提示書資料庫
你可以前往提示書庫,或在提示欄選擇提示圖示,找到閃
接著你可以搜尋提示書,或選擇 「查看所有提示書 」來查看所有提示書。
使用不同的提示本
可選的提示書包括:
觀看以下影片,了解更多關於提示書的資訊:
檢查外部威脅的影響力
利用這本提示書,你可以分析任何外部威脅情報文章,從中提取指標,並收集相關的 Microsoft Defender 威脅情報文章。
要執行這本提示書:
請依照 Defender TI 中啟用 Security Copilot 整合的步驟,確認你已啟用 Microsoft Threat Intelligence 外掛。
在 Security Copilot 中,選擇提示欄中的提示按鈕,開始輸入題目書中名為「Check impact of a external threat article」的幾個字母,直到提示書出現在列表中。
提供你想分析並提取指標的外部威脅情報文章網址。
接著,選擇 提交。
等 Security Copilot 用不同提示來執行 URL 時。 如果你看到回應是圓形進度指示器,代表提示書仍在運行。 Security Copilot 會針對每個提示產生回應,並持續累積直到最後一個提示。
請閱讀 Security Copilot 的回應。 你可以利用產生的 KQL 查詢來協助調查。
事件調查
你可以在向 Microsoft Sentinel 或 Microsoft Defender 全面偵測回應外掛提供事件編號後,執行事件調查提示簿。 使用你想使用的插件所需的提示書。 事件調查提示書包含多個提示,用以生成一份針對非技術讀者的高階主管報告,總結調查過程。 每個提示都是建立在前一個提示的基礎上。
要執行 Microsoft Sentinel 事件調查題目:
在提示欄中選擇提示按鈕,開始輸入「incident investigation」,直到提示書出現在列表中。
選擇 Microsoft Sentinel 事件調查。 (若要改用 Microsoft Defender 全面偵測回應 外掛,請選擇Microsoft Defender 全面偵測回應事件調查。)
在輸入框中填寫你想調查的事件編號,該欄位寫 著SENTINEL_INCIDENT_ID。
接著,選擇 提交。
等 Security Copilot 用不同提示輸入事件編號。 如果你看到回應是圓形進度指示器,代表提示書仍在運行。 Security Copilot 會針對每個提示產生回應,並持續累積直到最後一個提示。
請閱讀 Security Copilot 的回應。 Security Copilot 最後一個提示會根據回應產生一份執行報告,總結調查過程。 檢閱並驗證回應是否正確且符合您的需求。
Microsoft 使用者分析
Microsoft 使用者分析提示手冊可供 IT 管理員使用,分析並獲得跨多個 Microsoft 365 產品中使用者及相關裝置的詳細洞察。 這包括來自 Microsoft Entra ID 的登入與驗證資料、來自 Intune 的裝置資訊、來自 Microsoft Purview 的異常活動細節,以及強調重要偵測的 Microsoft Defender 摘要。
要從這本提示書獲得完整的回應,你首先需要啟動或確保你擁有以下角色:
- Microsoft Entra ID、Intune 和 Defender 的安全讀取器角色,至少需要
- Microsoft Purview 內部風險管理調查員或分析師角色
要執行這本提示書:
到提示書庫找 Microsoft User Analysis 提示書。
選擇 開始新工作階段。
你需要以下輸入:
- 使用者主體名稱或使用者的 UPN
- 你希望 Security Copilot 查詢資訊的時間範圍。
接著,選擇對話框右上角的 「提交 」按鈕。
等 Security Copilot 把你的輸入輸入到不同的提示中。 如果你看到回應是圓形進度指示器,代表提示書仍在運行。 Security Copilot 會為每個提示產生回應,並持續擴充直到最後一個提示。
請閱讀 Security Copilot 的回覆。 透過提示的回應,你可以更快判斷被調查的使用者是否有可疑行為,進而專注於下一步保障系統安全。
可疑劇本分析
當你在調查 PowerShell 或 Windows 命令列腳本時,這本可疑腳本分析提示書非常有用。 例如,如果 PowerShell 腳本涉及網路中的重大事件,你可以複製腳本內容並執行提示本以了解更多資訊。
要執行提示書:
1. 在提示欄中選擇提示按鈕,開始輸入「suspicious script analysis」,直到提示書出現在列表中。
選擇 可疑的腳本分析。
把你想分析的腳本字串貼到輸入框裡,寫著 SNIPPET。
接著,選擇 提交。
等 Security Copilot 用不同的提示來執行腳本內容。 如果你看到回應是圓形進度指示器,代表提示書仍在運行。 Security Copilot 會針對每個提示產生回應,並持續累積直到最後一個提示。
請閱讀 Security Copilot 的回應。 Security Copilot 最後一個提示會產生完整的報告,說明腳本的功能、相關威脅活動,以及根據檔案意圖評估建議的下一步。 檢閱並驗證回應是否正確且符合您的需求。
威脅行為者簡介
威脅行為者檔案提示書是快速取得特定威脅行為者的執行摘要的好方法。 提示書會尋找有關該行為者的現有威脅情報文章,包括已知工具、策略與程序, (TTP) 與指標,包括修復建議。 接著將研究結果總結成一份報告,方便較不懂技術的讀者閱讀。
要執行威脅行為者檔案提示書:
在提示欄中選擇提示按鈕,開始輸入「threat actor profile」,直到提示書出現在列表中。
選擇 威脅行為者設定檔。
在輸入框中輸入威脅行為者名稱,該欄位寫著「 威脅行為者名稱」。
接著,選擇 提交。
等 Security Copilot 透過不同提示來執行威脅行為者名稱。 如果你看到回應是圓形進度指示器,代表提示書仍在運行。 Security Copilot 會為每個提示產生回應,並持續擴充直到最後一個提示。
請閱讀 Security Copilot 的回應。 Security Copilot 最後一個提示會產生一份易於閱讀的報告,包含關於已識別威脅行為者的重要資訊。 檢閱並驗證回應是否正確且符合您的需求。
基於 MDTI 文章的 Threat Intelligence 360 報告
透過使用此提示手冊,您可以獲得詳細報告,了解某篇 Microsoft Defender 威脅情報文章中討論的威脅是否影響組織,包括相關指標與搜尋查詢。
要執行這本提示書:
請依照 Defender TI 中啟用 Security Copilot 整合的步驟,確認你已啟用 Microsoft Threat Intelligence 外掛。
在 Security Copilot 中,選擇提示欄中的提示按鈕,開始輸入提示書名稱,直到提示書出現在列表中。
選擇以 MDTI 文章為題的 Threat Intelligence 360 報告的提示書。
在輸入框中輸入 Defender Threat Intelligence 文章名稱,該欄位為 MDTI 文章名稱。
接著,選擇 提交。
請等待 Security Copilot 將文章透過不同的提示來執行。 如果你看到回應是圓形進度指示器,代表提示書仍在運行。 Security Copilot 會為每個提示產生回應,並持續擴充直到最後一個提示。
請閱讀 Security Copilot 的回應。
脆弱性影響評估
漏洞影響評估提示書接受 CVE 編號或已知漏洞名稱,以判斷該漏洞是否已公開揭露或被利用,以及是否被威脅行為者在其活動中使用。 接著,它能提出針對或減輕威脅的建議,並將這些發現總結成執行摘要。
要執行這本提示書:
在提示欄中選擇提示按鈕,開始輸入「漏洞影響評估」,直到提示書出現在列表中。
選擇 脆弱性影響評估。
在輸入欄輸入你想了解的 CVE 編號或常見漏洞名稱,並標示 CVEID。
接著,選擇 提交。
等 Security Copilot 透過不同提示執行漏洞名稱或 CVE。 如果你看到回應是圓形進度指示器,代表提示書仍在運行。 Security Copilot 會為每個提示產生回應,並持續擴充直到最後一個提示。
請閱讀 Security Copilot 的回覆。 最後一個提示會產生一份易於閱讀的漏洞報告。 報告中包含已知開發活動的細節,包括緩解建議。 檢閱並驗證回應是否正確且符合您的需求。
