Freigeben über

Verwenden von Promptbooks in Microsoft Security Copilot

  • Artikel

Security Copilot enthält vordefinierte Promptbooks, eine Reihe von Eingabeaufforderungen, die zusammengestellt wurden, um bestimmte sicherheitsbezogene Aufgaben auszuführen. Sie können auf ähnliche Weise wie Sicherheitsplaybooks funktionieren – sofort einsatzbereite Workflows, die als Vorlagen zum Automatisieren sich wiederholender Schritte dienen können – für instance im Hinblick auf die Reaktion auf Vorfälle oder Untersuchungen. Jedes vordefinierte Promptbook erfordert eine bestimmte Eingabe (z. B. einen Codeausschnitt oder einen Bedrohungsakteurnamen).

Sie können die verschiedenen Promptbooks finden, indem Sie zur Promptbookbibliothek wechseln oder das Prompts Symbol Screenshot des Sparkle-Symbols auswählen. in der Eingabeaufforderungsleiste. Sie können dann nach einem Promptbook suchen oder Alle Promptbooks anzeigen auswählen, um alle anzuzeigen.

Zu den verfügbaren Promptbooks gehören:

Sehen Sie sich das folgende Video an, um mehr über Promptbooks zu erfahren:

Überprüfen der Auswirkungen einer externen Bedrohung im Artikel

Mit diesem Eingabeaufforderungsbuch können Sie externe Threat Intelligence-Artikel analysieren, um Indikatoren daraus zu extrahieren und relevante Microsoft Defender Threat Intelligence Artikel zu sammeln.

So führen Sie dieses Promptbook aus:

  1. Stellen Sie sicher, dass Sie das Microsoft Threat Intelligence-Plug-In aktiviert haben, indem Sie die Schritte unter Aktivieren der Security Copilot Integration in Defender TI ausführen.

  2. Wählen Sie in Security Copilot die Schaltfläche Prompts in der Eingabeaufforderungsleiste aus, und beginnen Sie mit der Eingabe einiger Buchstaben des Promptbooks mit dem Namen Auswirkung eines Artikels mit externen Bedrohungen überprüfen, bis das Promptbook in der Liste angezeigt wird.

    Screenshot: Überprüfungswirkung eines Artikel-Promptbooks für externe Bedrohungen.

  3. Geben Sie die URL des Artikels zur externen Bedrohungsanalyse an, aus dem Sie Indikatoren analysieren und extrahieren möchten.

  4. Wählen Sie als Nächstes Absenden aus.

  5. Warten Sie, bis Security Copilot die URL über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut auf jeder Antwort auf, bis sie zur letzten Eingabeaufforderung gelangt.

  6. Lesen Sie die Antworten nach Security Copilot. Sie können die generierten KQL-Abfragen verwenden, um die Untersuchung zu unterstützen.

Untersuchung von Vorfällen

Sie können das Promptbook zur Untersuchung von Vorfällen ausführen, nachdem Sie eine Incidentnummer für das Microsoft Sentinel- oder Microsoft Defender XDR-Plug-In bereitgestellt haben. Verwenden Sie das entsprechende Promptbook für das Plug-In, das Sie verwenden möchten. Die Promptbooks zur Untersuchung von Vorfällen enthalten mehrere Aufforderungen zum Generieren eines Executive-Berichts für eine nicht technische Zielgruppe, der die Untersuchung zusammenfasst. Jede Eingabeaufforderung baut auf der vorherigen Eingabeaufforderung auf.

So führen Sie das Microsoft Sentinel Promptbook zur Untersuchung von Vorfällen aus:

  1. Wählen Sie die Schaltfläche Prompts in der Eingabeaufforderungsleiste aus, und geben Sie "Incidentuntersuchung" ein, bis die Promptbooks in der Liste angezeigt werden.

  2. Wählen Sie Microsoft Sentinel Incidentuntersuchung aus. (Um stattdessen das Microsoft Defender XDR-Plug-In zu verwenden, wählen Sie Microsoft Defender XDR Incidentuntersuchung aus.)

    Screenshot: Promptbook zur Untersuchung von Vorfällen

  3. Geben Sie die Incidentnummer, die Sie untersuchen möchten, im Eingabefeld Sentinel Incident-ID an.

  4. Wählen Sie als Nächstes senden in der oberen linken Ecke des Dialogfelds aus.

  5. Warten Sie, bis Security Copilot die Incidentnummer über die verschiedenen Eingabeaufforderungen ausgeführt hat. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut auf jeder Antwort auf, bis sie zur letzten Eingabeaufforderung gelangt.

  6. Lesen Sie die Antworten nach Security Copilot. Die letzte Aufforderung von Security Copilot generiert einen Bericht zur Geschäftsleitung, der die Untersuchung basierend auf den Antworten zusammenfasst. Überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Microsoft-Benutzeranalyse

Das Microsoft User Analysis Promptbook kann von einem IT-Admin verwendet werden, um einen Benutzer und zugehörige Geräte in mehreren Microsoft 365-Produkten zu analysieren und detaillierte Einblicke zu erhalten. Dazu gehören Anmelde- und Authentifizierungsdaten von Microsoft Entra ID, Geräteinformationen von Intune, Details zu ungewöhnlichen Aktivitäten von Microsoft Purview und eine Microsoft Defender Zusammenfassung, die wichtige Erkennungen hervorhebung.

Um eine umfassende Antwort aus diesem Promptbook zu erhalten, müssen Sie zuerst aktivieren oder sicherstellen, dass Sie über die folgenden Rollen verfügen:

  • Rolle "Sicherheitsleseberechtigter" für mindestens Microsoft Entra ID, Intune und Defender
  • Rolle "Insider-Risikomanagement" oder "Analyst" für Microsoft Purview

So führen Sie dieses Promptbook aus:

  1. Wechseln Sie zur Eingabeaufforderungsbibliothek, und suchen Sie nach dem Eingabeaufforderungsbuch für die Microsoft-Benutzeranalyse .

  2. Wählen Sie Neue Sitzung starten aus.

    Screenshot des Microsoft-Eingabeaufforderungsbuchs für die Benutzeranalyse.

  3. Sie benötigen die folgenden Eingaben:

    • Benutzerprinzipalname oder UPN des Benutzers
    • der Zeitbereich, in dem Security Copilot die Informationen suchen soll.

  4. Wählen Sie als Nächstes in der oberen rechten Ecke des Dialogfelds die Schaltfläche Senden aus.

  5. Warten Sie, bis Security Copilot Ihre Eingaben über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.

  6. Lesen Sie die Antwort aus Security Copilot. Mithilfe der Antwort aus den Eingabeaufforderungen können Sie schneller ableiten, ob der untersuchte Benutzer verdächtige Aktivitäten ausgeführt hat, damit Sie sich auf Ihre nächsten Schritte zur Sicherung Ihres Systems konzentrieren können.

Verdächtige Skriptanalyse

Das Eingabeaufforderungsbuch für die Verdächtige Skriptanalyse ist nützlich, wenn Sie ein PowerShell- oder Windows-Befehlszeilenskript untersuchen. Wenn beispielsweise ein PowerShell-Skript an einem kritischen Incident in Ihrem Netzwerk beteiligt war, können Sie den Text des Skripts kopieren und das Promptbook ausführen, um mehr darüber zu erfahren.

So führen Sie das Promptbook aus: 1.Wählen Sie die Schaltfläche Prompts in der Eingabeaufforderungsleiste aus, und geben Sie "Verdächtige Skriptanalyse" ein, bis die Promptbooks in der Liste angezeigt werden.

  1. Wählen Sie Verdächtige Skriptanalyse aus.

  2. Fügen Sie die Skriptzeichenfolge, die analysiert werden soll, in das Eingabefeld skript to analyze (Zu analysierende Skript) ein.

    Screenshot: Verdächtige Skriptanalyse in einem Promptbook

  3. Wählen Sie als Nächstes senden in der oberen linken Ecke des Dialogfelds aus.

  4. Warten Sie, bis Security Copilot den Skriptinhalt über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut auf jeder Antwort auf, bis sie zur letzten Eingabeaufforderung gelangt.

  5. Lesen Sie die Antworten nach Security Copilot. Die letzte Aufforderung von Security Copilot generiert einen vollständigen Bericht über die Funktionsweise des Skripts, alle zugehörigen Bedrohungsaktivitäten und die empfohlenen nächsten Schritte basierend auf der Bewertung der Dateiabsicht. Überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Bedrohungsakteurprofil

Das Profil-Promptbook für Bedrohungsakteur ist eine schnelle Möglichkeit, eine Zusammenfassung zu einem bestimmten Bedrohungsakteur zu erhalten. Das Promptbook sucht nach vorhandenen Threat Intelligence-Artikeln über den Akteur, einschließlich bekannter Tools, Taktiken und Verfahren (TTPs) und Indikatoren, einschließlich Korrekturvorschlägen. Anschließend fasst er die Ergebnisse in einem Bericht für weniger technische Leser zusammen.

So führen Sie das Promptbook für das Bedrohungsakteur-Profil aus:

  1. Wählen Sie in der Eingabeaufforderungsleiste die Schaltfläche Prompts aus, und geben Sie "Bedrohungsakteurprofil" ein, bis die Promptbooks in der Liste angezeigt werden.

  2. Wählen Sie Bedrohungsakteurprofil aus.

  3. Geben Sie den Namen des Bedrohungsakteurs in das Eingabefeld ein, das name des Bedrohungsakteurs lautet.

    Screenshot: Promptbook für Bedrohungsakteur

  4. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds die Schaltfläche Senden aus.

  5. Warten Sie, bisSecurity Copilot den Namen des Bedrohungsakteurs über die verschiedenen Eingabeaufforderungen ausgeführt hat. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.

  6. Lesen Sie die Antwort nach Security Copilot. Die letzte Aufforderung von Security Copilot generiert einen leicht lesbaren Bericht, der relevante Informationen zum identifizierten Bedrohungsakteur enthält. Überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Threat Intelligence 360-Bericht basierend auf dem MDTI-Artikel

Mithilfe dieses Promptbooks können Sie einen detaillierten Bericht darüber erhalten, ob sich die in einem bestimmten Microsoft Defender Threat Intelligence Artikel beschriebenen Bedrohungen auf die organization auswirken. einschließlich relevanter Indikatoren und Hunting-Abfragen.

So führen Sie dieses Promptbook aus:

  1. Stellen Sie sicher, dass Sie das Microsoft Threat Intelligence-Plug-In aktiviert haben, indem Sie die Schritte unter Aktivieren der Security Copilot Integration in Defender TI ausführen.

  2. Wählen Sie in Security Copilot die Schaltfläche Prompts in der Eingabeaufforderungsleiste aus, und beginnen Sie mit der Eingabe des Promptbooknamens, bis das Promptbook in der Liste angezeigt wird.

  3. Wählen Sie das Eingabeaufforderungsbuch mit dem Namen Threat Intelligence 360-Bericht basierend auf dem MDTI-Artikel aus.

  4. Geben Sie den Namen des Defender Threat Intelligence-Artikels in das Eingabefeld ein, in dem MDTI-Artikelname steht.

    Screenshot: TI-Berichts-Promptbook.

  5. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds die Schaltfläche Senden aus.

  6. Warten Sie, bis Security Copilot den Artikel über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.

  7. Lesen Sie die Antwort nach Security Copilot.

Bewertung der Auswirkungen auf Sicherheitsrisiken

Das Promptbook zur Bewertung der Auswirkungen auf Sicherheitsrisiken akzeptiert eine CVE-Nummer oder einen bekannten Sicherheitsrisikonamen, um herauszufinden, ob die Sicherheitsanfälligkeit öffentlich offengelegt oder ausgenutzt wurde und ob sie von Bedrohungsakteuren in ihren Kampagnen verwendet wurde. Anschließend kann es Empfehlungen zur Bekämpfung oder Entschärfung der Bedrohung geben und diese Ergebnisse in einer Zusammenfassung zusammenfassen.

So führen Sie dieses Promptbook aus:

  1. Wählen Sie in der Eingabeaufforderungsleiste die Schaltfläche Prompts aus, und geben Sie "Bewertung der Sicherheitsrisiken" ein, bis die Promptbooks in der Liste angezeigt werden.

  2. Wählen Sie Bewertung der Auswirkungen auf Sicherheitsrisiken aus.

  3. Geben Sie im Eingabefeld CVEID die CVE-Nummer oder den Allgemeinen Sicherheitsrisikonamen ein, über die Sie weitere Informationen erhalten möchten.

    Screenshot: Promptbook zur Bewertung der Auswirkungen auf Sicherheitsrisiken.

  4. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds die Schaltfläche Senden aus.

  5. Warten Sie, bis Security Copilot den Sicherheitsrisikonamen oder CVE über die verschiedenen Eingabeaufforderungen ausführen. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.

  6. Lesen Sie die Antwort aus Security Copilot. Die letzte Eingabeaufforderung generiert einen leicht lesbaren Bericht über die Sicherheitsanfälligkeit. Der Bericht enthält Details zu bekannten Nutzungsaktivitäten, einschließlich Vorschlägen zur Entschärfung. Überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Siehe auch