Compartir a través de


Uso de los cuadernos de mensajes en Microsoft Copilot para seguridad

¿Qué son los promptbooks?

Copilot for Security incluye los promptbooks precompilados, una serie de mensajes que se han reunido para realizar tareas específicas relacionadas con la seguridad. Pueden funcionar de forma similar a los cuadernos de estrategias de seguridad(flujos de trabajo listos para usar que pueden servir como plantillas para automatizar pasos repetitivos), por ejemplo, con respecto a la respuesta a incidentes o las investigaciones. Cada promptbook precompilado requiere una entrada específica (por ejemplo, un fragmento de código o un nombre de actor de amenaza).

Para encontrar los diferentes cuadernos de mensajes, vaya a la biblioteca de promptbook o seleccione el icono Consultas Captura de pantalla del icono de destello. En la barra de mensajes. A continuación, puede buscar una libreta de mensajes o seleccionar Ver todos los cuadernos de mensajes para ver todo.

Vea el siguiente vídeo para obtener más información sobre los promptbooks:

Investigación de incidentes

Puede ejecutar el promptbook de investigación de incidentes después de proporcionar un número de incidente al complemento Microsoft Sentinel o Microsoft Defender XDR. Use la libreta de mensajes adecuada para el complemento que desea usar. Los promptbooks de investigación de incidentes contienen varias indicaciones para generar un informe ejecutivo para una audiencia no técnica que resume la investigación. Cada símbolo del sistema se basa en el símbolo del sistema anterior.

Para ejecutar el promptbook de investigación de incidentes de Microsoft Sentinel:

  1. Seleccione el botón Consultas en la barra de mensajes y comience a escribir "investigación de incidentes" hasta que los cuadernos de mensajes aparezcan en la lista.

  2. Seleccione Microsoft Sentinel investigación de incidentes. (Para usar el complemento Microsoft Defender XDR en su lugar, seleccione Microsoft Defender XDR investigación de incidentes). Captura de pantalla de la libreta de mensajes de análisis de scripts sospechosos.

  3. Proporcione el número de incidente que desea investigar en el cuadro de entrada que indica Sentinel id. de incidente.

  4. A continuación, seleccione Ejecutar en la esquina superior izquierda del cuadro de diálogo.

  5. Espere a que Copilot para Seguridad ejecute el número de incidente a través de los distintos avisos. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Copilot for Security genera respuestas para cada una de las solicitudes, basándose en cada respuesta hasta que llega al último aviso.

  6. Lea las respuestas de Copilot for Security. El último aviso de Copilot for Security genera un informe ejecutivo que resume la investigación en función de las respuestas. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Perfil de actor de amenaza

El cuaderno de mensajes del perfil de actor de amenazas es una forma rápida de obtener un resumen ejecutivo sobre un actor de amenazas específico. El cuaderno de mensajes busca cualquier artículo de inteligencia sobre amenazas existente sobre el actor, incluidas herramientas, tácticas y procedimientos conocidos (TTP) e indicadores, incluidas sugerencias de corrección. A continuación, resume los resultados en un informe para lectores menos técnicos.

Para ejecutar la libreta de mensajes del perfil de actor de amenazas:

  1. Seleccione el botón Consultas en la barra de mensajes y empiece a escribir "perfil de actor de amenaza" hasta que los cuadernos de mensajes aparezcan en la lista.
  2. Seleccione Perfil de actor de amenazas.
  3. Escriba el nombre del actor de amenazas en el cuadro de entrada que indica Nombre del actor de amenazas. Captura de pantalla de la libreta de mensajes del actor de amenazas.
  4. A continuación, seleccione el botón Ejecutar en la esquina superior izquierda del cuadro de diálogo.
  5. Espere a que Copilot para Seguridad ejecute el nombre del actor de amenaza a través de las diferentes indicaciones. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Copilot for Security genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.
  6. Lea la respuesta de Copilot para seguridad. El último aviso de Copilot for Security genera un informe fácil de leer que incluye información pertinente sobre el actor de amenazas identificado. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Análisis de scripts sospechosos

El cuaderno de mensajes de análisis de scripts sospechosos es útil cuando se investiga un script de línea de comandos de PowerShell o Windows. Por ejemplo, si un script de PowerShell estaba implicado en un incidente crítico en la red, puede copiar el cuerpo del script y ejecutar la libreta de mensajes para obtener más información al respecto.

Para ejecutar el cuaderno de mensajes: 1.Seleccione el botón Consultas en la barra de mensajes y empiece a escribir "análisis de scripts sospechosos" hasta que los cuadernos de mensajes aparezcan en la lista.

  1. Seleccione Análisis de scripts sospechosos.

  2. Pegue la cadena de script que desea analizar en el cuadro de entrada que indica Script para analizar. Captura de pantalla que muestra el análisis de scripts sospechosos en una libreta de mensajes.

  3. A continuación, seleccione Ejecutar en la esquina superior izquierda del cuadro de diálogo.

  4. Espere a que Copilot para seguridad ejecute el contenido del script a través de las diferentes solicitudes. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Copilot for Security genera respuestas para cada una de las solicitudes, basándose en cada respuesta hasta que llega al último aviso.

  5. Lea las respuestas de Copilot for Security. El último aviso de Copilot for Security genera un informe completo de lo que hace el script, las actividades de amenazas relacionadas y los pasos siguientes recomendados en función de la evaluación sobre la intención del archivo. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Evaluación del impacto de vulnerabilidad

El promptbook de evaluación de impacto de vulnerabilidad acepta un número de CVE o un nombre de vulnerabilidad conocido para averiguar si la vulnerabilidad se ha divulgado o explotado públicamente y si la han usado los actores de amenazas en sus campañas. A continuación, puede proporcionar recomendaciones para abordar o mitigar la amenaza y resumir estos hallazgos en un resumen ejecutivo.

Para ejecutar este promptbook:

  1. Seleccione el botón Consultas en la barra de avisos y comience a escribir "evaluación del impacto de vulnerabilidad" hasta que los cuadernos de mensajes aparezcan en la lista.
  2. Seleccione Evaluación de impacto de vulnerabilidad.
  3. Escriba el número de CVE o el nombre de vulnerabilidad común sobre el que desea obtener información en el cuadro de entrada que indica CVEID. Captura de pantalla de la lista de avisos de evaluación de impacto de vulnerabilidades.
  4. A continuación, seleccione el botón Ejecutar en la esquina superior izquierda del cuadro de diálogo.
  5. Espere a que Copilot para seguridad ejecute el nombre de vulnerabilidad o CVE a través de los distintos avisos. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Seguridad de Copilot genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.
  6. Lea la respuesta de Copilot for Security. El último aviso genera un informe fácil de leer sobre la vulnerabilidad. El informe incluye detalles sobre las actividades de explotación conocidas, incluidas las sugerencias de mitigación. Revise y compruebe si las respuestas son precisas y satisfacen sus necesidades.

Análisis de usuarios de Microsoft

Un Administración de TI puede usar la libreta de mensajes de análisis de usuarios de Microsoft para analizar y obtener información detallada sobre un usuario y los dispositivos asociados en varios productos de Microsoft 365. Esto incluye datos de inicio de sesión y autenticación de Microsoft Entra ID, información del dispositivo de Intune, detalles de actividad inusuales de Microsoft Purview y un resumen Microsoft Defender que resalta detecciones importantes.

Para obtener una respuesta completa de esta libreta de mensajes, primero debe activar o asegurarse de que tiene los siguientes roles:

  • Rol lector global para Microsoft Entra ID
  • Rol lector de seguridad para Entra ID, Intune y Defender
  • Rol de investigador o analista de Administración de riesgos internos para Microsoft Purview

Para ejecutar este promptbook:

  1. Vaya a la biblioteca promptbook y busque el cuaderno de mensajes de Análisis de usuarios de Microsoft .
  2. Seleccione Iniciar nueva sesión. Captura de pantalla de la libreta de mensajes de análisis de usuarios de Microsoft.
  3. Necesita las siguientes entradas:
    • nombre principal de usuario o UPN del usuario
    • el intervalo de tiempo que desea que Copilot for Security busque la información.
  4. A continuación, seleccione el botón Enviar en la esquina superior derecha del cuadro de diálogo.
  5. Espere a que Copilot para seguridad ejecute las entradas a través de los distintos avisos. Si ve un indicador de progreso de ronda en lugar de la respuesta, el cuaderno de mensajes sigue ejecutándose. Copilot for Security genera respuestas para cada una de las solicitudes y se basa en cada una de ellas hasta que llega al último aviso.
  6. Lea la respuesta de Copilot for Security. Con la respuesta de los mensajes, puede deducir más rápido si el usuario que se está investigando ha estado realizando actividades sospechosas para que pueda centrarse en los pasos siguientes para proteger el sistema.

Visualización de la biblioteca de la libreta de mensajes

Tanto los cuadernos de mensajes creados previamente como los creados por el usuario en toda la organización aparecen en la biblioteca del libro de mensajes. Para ver los promptbooks, vaya al menú Copilot for Security (Copilot para seguridad) y seleccione Promptbook library (Biblioteca de promptbook).

Captura de pantalla de la biblioteca en el menú.

También puede seleccionar Ver biblioteca de promptbook en la página principal.

Captura de pantalla de la biblioteca en la página principal.

La biblioteca del cuaderno de mensajes muestra todos los promptbooks disponibles. Los cuadernos de mensajes aparecen por nombre y puede ver la descripción, el propietario, el número de mensajes, los complementos necesarios, las entradas y las etiquetas, si los hay.

Captura de pantalla de la biblioteca.

Seleccione el icono de lupa en la biblioteca promptbook de la región superior izquierda de la página. Escriba las primeras letras del título de la libreta de mensajes y espere a que se carguen los resultados.

También puede filtrar en función de las etiquetas.

Vea también