Partager via


Utilisation de promptbooks dans Microsoft Copilot pour la sécurité

Que sont les promptbooks ?

Copilot for Security est fourni avec des promptbooks prédéfinis, une série d’invites qui ont été rassemblées pour accomplir des tâches spécifiques liées à la sécurité. Ils peuvent fonctionner de la même manière que les playbooks de sécurité( workflows prêts à l’emploi qui peuvent servir de modèles pour automatiser des étapes répétitives) pour instance, en ce qui concerne la réponse aux incidents ou les enquêtes. Chaque promptbook prédéfini nécessite une entrée spécifique (par exemple, un extrait de code ou un nom d’acteur de menace).

Vous pouvez trouver les différents guides en accédant à la bibliothèque de promptbooks ou en sélectionnant l’icône Requêtes Capture d’écran de l’icône sparkle. dans la barre d’invite. Vous pouvez ensuite rechercher un promptbook ou sélectionner Afficher tous les guides pour tout afficher.

Regardez la vidéo suivante pour en savoir plus sur les guides :

Enquête sur les incidents

Vous pouvez exécuter le promptbook d’investigation des incidents après avoir fourni un numéro d’incident au Microsoft Sentinel ou au plug-in Microsoft Defender XDR. Utilisez le promptbook approprié pour le plug-in que vous souhaitez utiliser. Les guides d’enquête sur les incidents contiennent plusieurs invites pour générer un rapport exécutif pour un public non technique qui résume l’enquête. Chaque invite s’appuie sur l’invite précédente.

Pour exécuter le promptbook d’investigation des incidents Microsoft Sentinel :

  1. Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « Investigation d’incident » jusqu’à ce que les guides apparaissent dans la liste.

  2. Sélectionnez Microsoft Sentinel investigation d’incident. (Pour utiliser le plug-in Microsoft Defender XDR à la place, sélectionnez Microsoft Defender XDR investigation d’incident.) Capture d’écran d’un promptbook d’analyse de script suspecte.

  3. Indiquez le numéro d’incident que vous souhaitez examiner dans la zone d’entrée indiquant Sentinel ID d’incident.

  4. Ensuite, sélectionnez Exécuter dans le coin supérieur gauche de la boîte de dialogue.

  5. Attendez que Copilot for Security exécute le numéro d’incident via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot for Security génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle arrive à la dernière invite.

  6. Lisez les réponses de Copilot for Security. La dernière invite de Copilot for Security génère un rapport exécutif résumant l’enquête en fonction des réponses. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Profil d’acteur de menace

Le promptbook de profil d’acteur de menace est un moyen rapide d’obtenir un résumé exécutif sur un acteur de menace spécifique. Le manuel d’invite recherche tous les articles de renseignement sur les menaces existants sur l’acteur, y compris les outils, tactiques et procédures connus (TDP) et les indicateurs, y compris les suggestions de correction. Il résume ensuite les résultats dans un rapport destiné aux lecteurs moins techniques.

Pour exécuter le promptbook du profil d’acteur de menace :

  1. Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « profil d’acteur de menace » jusqu’à ce que les promptbooks apparaissent dans la liste.
  2. Sélectionnez Profil d’acteur de menace.
  3. Tapez le nom de l’acteur de menace dans la zone d’entrée qui indique Nom de l’acteur de menace. Capture d’écran du guide d’invite de l’acteur des menaces.
  4. Ensuite, sélectionnez le bouton Exécuter dans le coin supérieur gauche de la boîte de dialogue.
  5. Attendez que Copilot for Security exécute le nom de l’acteur de menace via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot for Security génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.
  6. Lisez la réponse de Copilot pour la sécurité. La dernière invite de Copilot for Security génère un rapport facilement lisible qui inclut des informations pertinentes sur l’acteur de menace identifié. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Analyse des scripts suspects

Le manuel d’invite d’analyse de script suspect est utile lorsque vous examinez un script de ligne de commande PowerShell ou Windows. Par exemple, si un script PowerShell a été impliqué dans un incident critique dans votre réseau, vous pouvez copier le corps du script et exécuter le manuel d’invite pour en savoir plus.

Pour exécuter le manuel d’invite : 1.Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « analyse de script suspecte » jusqu’à ce que les promptbooks apparaissent dans la liste.

  1. Sélectionnez Analyse de script suspecte.

  2. Collez la chaîne de script que vous souhaitez analyser dans la zone d’entrée indiquant Script à analyser. Capture d’écran montrant une analyse de script suspecte dans un manuel d’invite.

  3. Ensuite, sélectionnez Exécuter dans le coin supérieur gauche de la boîte de dialogue.

  4. Attendez que Copilot for Security exécute le contenu du script via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot for Security génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle arrive à la dernière invite.

  5. Lisez les réponses de Copilot for Security. La dernière invite de Copilot for Security génère un rapport complet sur ce que fait le script, toutes les activités liées aux menaces et les étapes suivantes recommandées en fonction de l’évaluation de l’intention du fichier. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Évaluation de l’impact sur les vulnérabilités

Le promptbook d’évaluation de l’impact sur les vulnérabilités accepte un numéro CVE ou un nom de vulnérabilité connu pour déterminer si la vulnérabilité a été divulguée ou exploitée publiquement et si elle a été utilisée par les acteurs des menaces dans leurs campagnes. Il peut ensuite fournir des recommandations pour traiter ou atténuer la menace et résumer ces résultats dans un résumé exécutif.

Pour exécuter ce manuel d’invite :

  1. Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « Évaluation de l’impact des vulnérabilités » jusqu’à ce que les guides apparaissent dans la liste.
  2. Sélectionnez Évaluation de l’impact sur les vulnérabilités.
  3. Tapez le numéro CVE ou le nom de vulnérabilité commune que vous souhaitez découvrir dans la zone d’entrée indiquant CVEID. Capture d’écran du manuel d’invite sur l’évaluation de l’impact des vulnérabilités.
  4. Ensuite, sélectionnez le bouton Exécuter dans le coin supérieur gauche de la boîte de dialogue.
  5. Attendez que Copilot for Security exécute le nom de la vulnérabilité ou CVE via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot for Security génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.
  6. Lisez la réponse de Copilot for Security. La dernière invite génère un rapport facilement lisible sur la vulnérabilité. Le rapport contient des détails sur les activités d’exploitation connues, y compris des suggestions d’atténuation. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Analyse des utilisateurs Microsoft

Le manuel d’invite d’analyse des utilisateurs Microsoft peut être utilisé par un Administration informatique pour analyser et obtenir des informations détaillées sur un utilisateur et les appareils associés sur plusieurs produits Microsoft 365. Cela inclut les données de connexion et d’authentification de Microsoft Entra ID, les informations sur les appareils de Intune, les détails des activités inhabituelles de Microsoft Purview et un résumé Microsoft Defender mettant en évidence les détections importantes.

Pour obtenir une réponse complète à partir de ce livre d’invite, vous devez d’abord activer ou vérifier que vous disposez des rôles suivants :

  • Rôle Lecteur global pour Microsoft Entra ID
  • Rôle Lecteur de sécurité pour l’ID Entra, Intune et Defender
  • Rôle d’enquêteur ou d’analyste de gestion des risques internes pour Microsoft Purview

Pour exécuter ce manuel d’invite :

  1. Accédez à la bibliothèque promptbook et recherchez le manuel d’invite Analyse utilisateur Microsoft .
  2. Sélectionnez Démarrer une nouvelle session. Capture d’écran du manuel d’invite d’analyse des utilisateurs Microsoft.
  3. Vous avez besoin des entrées suivantes :
    • nom d’utilisateur principal ou UPN de l’utilisateur
    • l’intervalle de temps dans lequel Vous souhaitez que Copilot for Security recherche les informations.
  4. Ensuite, sélectionnez le bouton Envoyer dans le coin supérieur droit de la boîte de dialogue.
  5. Attendez que Copilot for Security exécute vos entrées via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Copilot for Security génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.
  6. Lisez la réponse de Copilot for Security. À l’aide de la réponse des invites, vous pouvez déduire plus rapidement si l’utilisateur examiné a effectué des activités suspectes afin de pouvoir vous concentrer sur les étapes suivantes de la sécurisation de votre système.

Afficher la bibliothèque de promptbooks

Les promptbooks prédéfinis et créés par l’utilisateur dans votre organization s’affichent dans la bibliothèque de promptbooks. Affichez les manuels d’invite en accédant au menu Copilot for Security et en sélectionnant Promptbook library (Bibliothèque de guides d’invite).

Capture d’écran de la bibliothèque dans le menu.

Vous pouvez également sélectionner Afficher la bibliothèque de guides sur la page d’accueil.

Capture d’écran de la bibliothèque dans la page d’accueil.

La bibliothèque promptbook affiche tous les promptbooks disponibles. Les promptbooks sont répertoriés par nom, et vous pouvez afficher la description, le propriétaire, le nombre d’invites, les plug-ins, les entrées et les balises nécessaires, le cas échéant.

Capture d’écran de la bibliothèque.

Sélectionnez l’icône de loupe dans la bibliothèque promptbook dans la région supérieure gauche de la page. Tapez les premières lettres du titre de votre promptbook et attendez que les résultats se chargent.

Vous pouvez également filtrer en fonction des balises.

Voir aussi