Compartir a través de

Uso de los cuadernos de mensajes en Microsoft Security Copilot

  • Artículo

Security Copilot viene con promptbooks precompilados, una serie de mensajes que se han reunido para realizar tareas específicas relacionadas con la seguridad. Pueden funcionar de forma similar a los cuadernos de estrategias de seguridad(flujos de trabajo listos para usar que pueden servir como plantillas para automatizar pasos repetitivos), por ejemplo, con respecto a la respuesta a incidentes o las investigaciones. Cada promptbook precompilado requiere una entrada específica (por ejemplo, un fragmento de código o un nombre de actor de amenaza).

Para encontrar los diferentes cuadernos de mensajes, vaya a la biblioteca de promptbook o seleccione el icono Consultas Captura de pantalla del icono de destello. En la barra de mensajes. A continuación, puede buscar una libreta de mensajes o seleccionar Ver todos los cuadernos de mensajes para ver todo.

Los cuadernos de mensajes disponibles incluyen:

Vea el siguiente vídeo para obtener más información sobre los promptbooks:

Comprobación del impacto de un artículo sobre amenazas externas

Con este cuaderno de mensajes, puede analizar cualquier artículo de inteligencia sobre amenazas externa para extraer indicadores de él y recopilar cualquier artículo de Inteligencia contra amenazas de Microsoft Defender pertinente.

Para ejecutar este promptbook:

  1. Asegúrese de que ha activado el complemento Microsoft Threat Intelligence siguiendo los pasos descritos en Habilitación de la integración de Security Copilot en Ti de Defender.

  2. En Security Copilot, seleccione el botón Consultas de la barra de avisos y empiece a escribir unas cuantas letras de la libreta de mensajes denominada Check impact of an external threat article (Comprobar el impacto de una amenaza externa) hasta que aparezca en la lista.

    Captura de pantalla de la lista de avisos de un artículo de comprobación de amenazas externas.

  3. Proporcione la dirección URL del artículo de inteligencia sobre amenazas externa del que desea analizar y extraer indicadores.

  4. A continuación, seleccione Enviar.

  5. Espere a que Security Copilot ejecute la dirección URL a través de los distintos mensajes. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Security Copilot genera respuestas para cada uno de los mensajes, basándose en cada respuesta hasta que llega al último aviso.

  6. Lea las respuestas por Security Copilot. Puede usar las consultas de KQL generadas para ayudar en la investigación.

Investigación de incidentes

Puede ejecutar el promptbook de investigación de incidentes después de proporcionar un número de incidente al complemento Microsoft Sentinel o Microsoft Defender XDR. Use la libreta de mensajes adecuada para el complemento que desea usar. Los promptbooks de investigación de incidentes contienen varias indicaciones para generar un informe ejecutivo para una audiencia no técnica que resume la investigación. Cada símbolo del sistema se basa en el símbolo del sistema anterior.

Para ejecutar el promptbook de investigación de incidentes de Microsoft Sentinel:

  1. Seleccione el botón Consultas en la barra de mensajes y comience a escribir "investigación de incidentes" hasta que los cuadernos de mensajes aparezcan en la lista.

  2. Seleccione Microsoft Sentinel investigación de incidentes. (Para usar el complemento Microsoft Defender XDR en su lugar, seleccione Microsoft Defender XDR investigación de incidentes).

    Captura de pantalla del cuaderno de mensajes de investigación de incidentes.

  3. Proporcione el número de incidente que desea investigar en el cuadro de entrada que indica Sentinel id. de incidente.

  4. A continuación, seleccione Enviar en la esquina superior izquierda del cuadro de diálogo.

  5. Espere a que Security Copilot ejecute el número de incidente a través de los distintos avisos. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Security Copilot genera respuestas para cada uno de los mensajes, basándose en cada respuesta hasta que llega al último aviso.

  6. Lea las respuestas por Security Copilot. El último aviso de Security Copilot genera un informe ejecutivo que resume la investigación en función de las respuestas. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Análisis de usuarios de Microsoft

Un Administración de TI puede usar la libreta de mensajes de análisis de usuarios de Microsoft para analizar y obtener información detallada sobre un usuario y los dispositivos asociados en varios productos de Microsoft 365. Esto incluye datos de inicio de sesión y autenticación de Microsoft Entra ID, información del dispositivo de Intune, detalles de actividad inusuales de Microsoft Purview y un resumen Microsoft Defender que resalta detecciones importantes.

Para obtener una respuesta completa de esta libreta de mensajes, primero debe activar o asegurarse de que tiene los siguientes roles:

  • Rol lector de seguridad para Microsoft Entra ID, Intune y Defender como mínimo
  • Rol de investigador o analista de Administración de riesgos internos para Microsoft Purview

Para ejecutar este promptbook:

  1. Vaya a la biblioteca promptbook y busque el cuaderno de mensajes de Análisis de usuarios de Microsoft .

  2. Seleccione Iniciar nueva sesión.

    Captura de pantalla de la libreta de mensajes de análisis de usuarios de Microsoft.

  3. Necesita las siguientes entradas:

    • nombre principal de usuario o UPN del usuario
    • el intervalo de tiempo que desea que Security Copilot busque la información.

  4. A continuación, seleccione el botón Enviar en la esquina superior derecha del cuadro de diálogo.

  5. Espere a que Security Copilot ejecute las entradas a través de los distintos mensajes. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Security Copilot genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.

  6. Lea la respuesta de Security Copilot. Con la respuesta de los mensajes, puede deducir más rápido si el usuario que se está investigando ha estado realizando actividades sospechosas para que pueda centrarse en los pasos siguientes para proteger el sistema.

Análisis de scripts sospechosos

El cuaderno de mensajes de análisis de scripts sospechosos es útil cuando se investiga un script de línea de comandos de PowerShell o Windows. Por ejemplo, si un script de PowerShell estaba implicado en un incidente crítico en la red, puede copiar el cuerpo del script y ejecutar la libreta de mensajes para obtener más información al respecto.

Para ejecutar el cuaderno de mensajes: 1.Seleccione el botón Consultas en la barra de mensajes y empiece a escribir "análisis de scripts sospechosos" hasta que los cuadernos de mensajes aparezcan en la lista.

  1. Seleccione Análisis de scripts sospechosos.

  2. Pegue la cadena de script que desea analizar en el cuadro de entrada que indica Script para analizar.

    Captura de pantalla que muestra el análisis de scripts sospechosos en una libreta de mensajes.

  3. A continuación, seleccione Enviar en la esquina superior izquierda del cuadro de diálogo.

  4. Espere a que Security Copilot ejecute el contenido del script a través de los distintos mensajes. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Security Copilot genera respuestas para cada uno de los mensajes, basándose en cada respuesta hasta que llega al último aviso.

  5. Lea las respuestas por Security Copilot. El último aviso de Security Copilot genera un informe completo de lo que hace el script, las actividades de amenazas relacionadas y los pasos siguientes recomendados en función de la evaluación sobre la intención del archivo. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Perfil de actor de amenaza

El cuaderno de mensajes del perfil de actor de amenazas es una forma rápida de obtener un resumen ejecutivo sobre un actor de amenazas específico. El cuaderno de mensajes busca cualquier artículo de inteligencia sobre amenazas existente sobre el actor, incluidas herramientas, tácticas y procedimientos conocidos (TTP) e indicadores, incluidas sugerencias de corrección. A continuación, resume los resultados en un informe para lectores menos técnicos.

Para ejecutar la libreta de mensajes del perfil de actor de amenazas:

  1. Seleccione el botón Consultas en la barra de mensajes y empiece a escribir "perfil de actor de amenaza" hasta que los cuadernos de mensajes aparezcan en la lista.

  2. Seleccione Perfil de actor de amenazas.

  3. Escriba el nombre del actor de amenazas en el cuadro de entrada que indica Nombre del actor de amenazas.

    Captura de pantalla de la libreta de mensajes del actor de amenazas.

  4. A continuación, seleccione el botón Enviar en la esquina superior izquierda del cuadro de diálogo.

  5. Espere a queSecurity Copilot ejecute el nombre del actor de amenaza a través de las diferentes indicaciones. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Security Copilot genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.

  6. Lea la respuesta Security Copilot. El último aviso de Security Copilot genera un informe fácil de leer que incluye información pertinente sobre el actor de amenazas identificado. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Informe de Threat Intelligence 360 basado en el artículo MDTI

Mediante este cuaderno de mensajes, puede obtener un informe detallado sobre si las amenazas que se describen en un artículo Inteligencia contra amenazas de Microsoft Defender determinado afectan a la organización. incluidos los indicadores pertinentes y las consultas de búsqueda.

Para ejecutar este promptbook:

  1. Asegúrese de que ha activado el complemento Microsoft Threat Intelligence siguiendo los pasos descritos en Habilitación de la integración de Security Copilot en Ti de Defender.

  2. En Security Copilot, seleccione el botón Consultas en la barra de mensajes y empiece a escribir el nombre del cuaderno de mensajes hasta que aparezca en la lista.

  3. Seleccione el cuaderno de mensajes denominado Informe de Threat Intelligence 360 basado en MDTI.

  4. Escriba el nombre del artículo de Inteligencia sobre amenazas de Defender en el cuadro de entrada que dice Nombre del artículo MDTI.

    Captura de pantalla de la libreta de mensajes del informe de TI.

  5. A continuación, seleccione el botón Enviar en la esquina superior izquierda del cuadro de diálogo.

  6. Espere a que Security Copilot ejecute el artículo a través de las diferentes solicitudes. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Security Copilot genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.

  7. Lea la respuesta Security Copilot.

Evaluación del impacto de vulnerabilidad

El promptbook de evaluación de impacto de vulnerabilidad acepta un número de CVE o un nombre de vulnerabilidad conocido para averiguar si la vulnerabilidad se ha divulgado o explotado públicamente y si la han usado los actores de amenazas en sus campañas. A continuación, puede proporcionar recomendaciones para abordar o mitigar la amenaza y resumir estos hallazgos en un resumen ejecutivo.

Para ejecutar este promptbook:

  1. Seleccione el botón Consultas en la barra de avisos y comience a escribir "evaluación del impacto de vulnerabilidad" hasta que los cuadernos de mensajes aparezcan en la lista.

  2. Seleccione Evaluación de impacto de vulnerabilidad.

  3. Escriba el número de CVE o el nombre de vulnerabilidad común sobre el que desea obtener información en el cuadro de entrada que indica CVEID.

    Captura de pantalla de la lista de avisos de evaluación de impacto de vulnerabilidades.

  4. A continuación, seleccione el botón Enviar en la esquina superior izquierda del cuadro de diálogo.

  5. Espere a que Security Copilot ejecute el nombre de vulnerabilidad o CVE a través de los distintos mensajes. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Security Copilot genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.

  6. Lea la respuesta de Security Copilot. El último aviso genera un informe fácil de leer sobre la vulnerabilidad. El informe incluye detalles sobre las actividades de explotación conocidas, incluidas las sugerencias de mitigación. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Recursos adicionales