通过

在 Microsoft 安全 Copilot 中使用提示簿

  • 项目

什么是提示簿?

安全 Copilot附带预生成的提示簿,这是一系列提示,这些提示已组合在一起以完成与安全相关的特定任务。 它们的工作方式与安全 playbook 类似,即可用作模板以自动执行重复步骤的随时可用的工作流,例如,在事件响应或调查方面。 每个预生成提示书都需要特定的输入 (例如,代码片段或威胁参与者名称) 。

可以通过转到提示簿库或选择提示栏中的 sparkle 图标屏幕截图来查找不同的提示手册。 然后,可以搜索提示簿,或选择“ 查看所有提示手册 ”。

事件调查

在向 Microsoft Sentinel 或 Microsoft Defender XDR 插件提供事件编号后,可以运行事件调查提示簿。 对要使用的插件使用相应的提示手册。 事件调查提示手册包含多个提示,用于为汇总调查的非技术受众生成执行报告。 每个提示都基于上一个提示。

运行 Microsoft Sentinel 事件调查提示簿:

  1. 选择提示栏中的“提示”按钮,开始键入“事件调查”,直到提示簿出现在列表中。

  2. 选择“ Microsoft Sentinel 事件调查”。 (若要改用Microsoft Defender XDR插件,请选择“Microsoft Defender XDR事件调查”。) 可疑脚本分析提示簿的屏幕截图。

  3. 在显示 Sentinel 事件 ID 的输入框中提供要调查的事件编号。

  4. 接下来,选择对话框左上角的“ 运行 ”。

  5. 等待安全 Copilot通过不同的提示运行事件编号。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 安全 Copilot为每个提示生成响应,并基于每个响应生成响应,直到它到达最后一个提示。

  6. 通过安全 Copilot读取响应。 安全 Copilot的最后一个提示生成一份执行报告,根据响应总结调查。 查看并验证响应是否准确并满足你的需求。

威胁参与者配置文件

威胁参与者配置文件提示手册是获取有关特定威胁参与者的执行摘要的快速方法。 提示手册查找有关执行组件的任何现有威胁情报文章,包括已知工具、策略和过程 (TTP) 和指标,包括修正建议。 然后,它将调查结果汇总到一份报告中,供技术较少的读者使用。

若要运行威胁参与者配置文件提示簿:1.选择提示栏中的“提示”按钮,然后开始键入“威胁参与者配置文件”,直到提示手册出现在列表中。

  1. 选择 “威胁参与者配置文件”。
  2. 在显示“威胁参与者名称”的输入框中键入 威胁参与者的名称威胁参与者提示簿的屏幕截图。
  3. 接下来,选择对话框左上角的“ 运行 ”按钮。
  4. 等待安全 Copilot通过不同的提示运行威胁参与者名称。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 安全 Copilot为每个提示生成响应,并在每个提示的基础上生成,直到它到达最后一个提示。
  5. 通过 安全 Copilot 读取响应。 安全 Copilot的最后一个提示生成易于阅读的报告,其中包括有关已识别的威胁参与者的相关信息。 查看并验证响应是否准确并满足你的需求。

可疑脚本分析

在调查 PowerShell 或 Windows 命令行脚本时,可疑脚本分析提示簿非常有用。 例如,如果某个 PowerShell 脚本涉及网络中的关键事件,则可以复制脚本正文并运行 Promptbook 以了解有关它的详细信息。

若要运行 promptbook:1.选择提示栏中的“提示”按钮,然后开始键入“可疑脚本分析”,直到提示簿显示在列表中。

  1. 选择 “可疑脚本分析”。

  2. 在“要分析的脚本”的输入框中粘贴要 分析的脚本字符串。 屏幕截图显示了提示簿中的可疑脚本分析。

  3. 接下来,选择对话框左上角的“ 运行 ”。

  4. 等待安全 Copilot通过不同的提示运行脚本内容。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 安全 Copilot为每个提示生成响应,并基于每个响应生成响应,直到它到达最后一个提示。

  5. 通过安全 Copilot读取响应。 安全 Copilot的最后一个提示生成脚本执行的操作、任何相关威胁活动的完整报告,以及基于对文件意向的评估建议的后续步骤。 查看并验证响应是否准确并满足你的需求。

漏洞影响评估

漏洞影响评估提示书接受 CVE 编号或已知漏洞名称,以了解漏洞是否已公开披露或利用,以及威胁参与者是否在其活动中使用了该漏洞。 然后,它可以提供解决或缓解威胁的建议,并在执行摘要中总结这些发现。

运行此提示书:

  1. 选择提示栏中的“提示”按钮,然后开始键入“漏洞影响评估”,直到提示手册显示在列表中。
  2. 选择 “漏洞影响评估”。
  3. 在输入框中键入要了解的 CVE 编号或常见漏洞名称,指出 CVEID漏洞影响评估提示手册的屏幕截图。
  4. 接下来,选择对话框左上角的“ 运行 ”按钮。
  5. 等待安全 Copilot通过不同的提示运行漏洞名称或 CVE。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 安全 Copilot 为每个提示生成响应,并在每个提示的基础上生成响应,直到它到达最后一个提示。
  6. 从 安全 Copilot 读取响应。 最后一个提示生成有关漏洞的易读报告。 该报告包含有关已知利用活动的详细信息,包括缓解建议。 查看并验证响应是否准确并满足你的需求。

查看 promptbook 库

整个组织的预生成和用户生成的提示簿都显示在 promptbook 库中。 转到“Copilot”菜单并选择“ Promptbook 库”,查看提示书。

菜单中库的屏幕截图。

还可以在主页上选择“ 查看提示书库 ”。

主页中库的屏幕截图。

promptbook 库显示所有可用的提示书。 提示手册按名称列出,你可以查看说明、所有者、提示数、所需的插件、输入和标记(如果有)。

库的屏幕截图。

选择页面左上角区域中 Promptbook 库中 的放大镜图标。 键入提示书标题的前几个字母,并等待结果加载。

还可以根据标记进行筛选。

另请参阅