Uso dei promptbook in Microsoft Security Copilot
Security Copilot include promptbook predefiniti, una serie di richieste che sono state messe insieme per eseguire attività specifiche correlate alla sicurezza. Possono funzionare in modo analogo ai playbook di sicurezza, ovvero flussi di lavoro pronti all'uso che possono fungere da modelli per automatizzare i passaggi ripetitivi, ad esempio per quanto riguarda la risposta agli eventi imprevisti o le indagini. Ogni promptbook predefinito richiede un input specifico, ad esempio un frammento di codice o un nome di attore di minaccia.
Per trovare i diversi promptbook, passare alla libreria promptbook o selezionare l'icona Richieste Nella barra dei prompt. È quindi possibile cercare un promptbook o selezionare Visualizza tutti i promptbook per visualizzare tutto.
I promptbook disponibili includono:
- Controllare l'impatto di un articolo sulle minacce esterne
- Indagine sugli eventi imprevisti
- Analisi utente Microsoft
- Analisi di script sospetti
- Profilo dell'attore di minacce
- Report di Threat Intelligence 360 basato sull'articolo MDTI
- Valutazione dell'impatto sulla vulnerabilità
Guardare il video seguente per altre informazioni sui promptbook:
Controllare l'impatto di un articolo sulle minacce esterne
Usando questo promptbook, è possibile analizzare qualsiasi articolo di intelligence sulle minacce esterno per estrarre gli indicatori da esso e raccogliere qualsiasi articolo Microsoft Defender Threat Intelligence pertinente.
Per eseguire questo promptbook:
Assicurarsi di aver attivato il plug-in Microsoft Threat Intelligence seguendo la procedura descritta in Abilitare l'integrazione Security Copilot in Defender TI.
In Security Copilot selezionare il pulsante Richieste nella barra dei prompt e iniziare a digitare alcune lettere del promptbook denominato Controllare l'impatto di un articolo sulle minacce esterne fino a quando il promptbook non viene visualizzato nell'elenco.
Specificare l'URL dell'articolo di intelligence sulle minacce esterne da cui si vuole analizzare ed estrarre gli indicatori.
Selezionare quindi Invia.
Attendere che Security Copilot eservi l'URL tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta, basandosi su ogni risposta fino all'ultimo prompt.
Leggere le risposte in base Security Copilot. È possibile usare le query KQL generate per facilitare l'analisi.
Indagine sugli eventi imprevisti
È possibile eseguire il prompt delle indagini sugli eventi imprevisti dopo aver fornito un numero di evento imprevisto al plug-in Microsoft Sentinel o Microsoft Defender XDR. Usare il promptbook appropriato per il plug-in che si vuole usare. I prompt delle indagini sugli eventi imprevisti contengono diverse richieste di generare un report esecutivo per un gruppo di destinatari non tecnici che riepiloga l'indagine. Ogni richiesta si basa sul prompt precedente.
Per eseguire il prompt delle indagini sugli eventi imprevisti Microsoft Sentinel:
Selezionare il pulsante Richieste nella barra dei prompt e iniziare a digitare "incident investigation" fino a quando i promptbook non vengono visualizzati nell'elenco.
Selezionare Microsoft Sentinel'indagine sugli eventi imprevisti. Per usare invece il plug-in Microsoft Defender XDR, selezionare Microsoft Defender XDR'indagine sugli eventi imprevisti.
Specificare il numero dell'evento imprevisto da analizzare nella casella di input che indica Sentinel ID evento imprevisto.
Selezionare quindi Invia nell'angolo superiore sinistro della finestra di dialogo.
Attendere che Security Copilot eservi il numero dell'evento imprevisto tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta, basandosi su ogni risposta fino all'ultimo prompt.
Leggere le risposte in base Security Copilot. L'ultima richiesta di Security Copilot genera un report esecutivo che riepiloga l'indagine in base alle risposte. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.
Analisi utente Microsoft
Il prompt di analisi degli utenti Microsoft può essere usato da un Amministrazione IT per analizzare e ottenere informazioni dettagliate su un utente e sui dispositivi associati in più prodotti Microsoft 365. Sono inclusi i dati di accesso e autenticazione da Microsoft Entra ID, le informazioni sul dispositivo da Intune, dettagli insoliti sulle attività di Microsoft Purview e un riepilogo Microsoft Defender che evidenzia rilevamenti importanti.
Per ottenere una risposta completa da questo promptbook, è prima necessario attivare o assicurarsi di avere i ruoli seguenti:
- Ruolo lettore di sicurezza per almeno Microsoft Entra ID, Intune e Defender
- Ruolo di investigatore o analista di Insider Risk Management per Microsoft Purview
Per eseguire questo promptbook:
Passare alla libreria Promptbook e cercare il promptbook analisi utenti Microsoft .
Selezionare Avvia nuova sessione.
Sono necessari gli input seguenti:
- il nome dell'entità utente o l'UPN dell'utente
- l'intervallo di tempo che si desidera Security Copilot per cercare le informazioni.
Selezionare quindi il pulsante Invia nell'angolo superiore destro della finestra di dialogo.
Attendere che Security Copilot eservi gli input tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta e si basa su ognuna fino all'ultimo prompt.
Leggere la risposta da Security Copilot. Usando la risposta dei prompt, è possibile dedurre più rapidamente se l'utente sottoposto a indagine ha eseguito attività sospette in modo da potersi concentrare sui passaggi successivi per la protezione del sistema.
Analisi di script sospetti
Il prompt dell'analisi degli script sospetti è utile quando si sta analizzando uno script da riga di comando di PowerShell o Windows. Ad esempio, se uno script di PowerShell è stato coinvolto in un evento imprevisto critico nella rete, è possibile copiare il corpo dello script ed eseguire il promptbook per saperne di più.
Per eseguire il promptbook: 1.Selezionare il pulsante Richieste nella barra dei prompt e iniziare a digitare "analisi script sospetta" fino a quando i promptbook non vengono visualizzati nell'elenco.
Selezionare Analisi script sospetti.
Incollare la stringa di script che si vuole analizzare nella casella di input che indica Script da analizzare.
Selezionare quindi Invia nell'angolo superiore sinistro della finestra di dialogo.
Attendere Security Copilot eseguire il contenuto dello script tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta, basandosi su ogni risposta fino all'ultimo prompt.
Leggere le risposte in base Security Copilot. L'ultima richiesta di Security Copilot genera un report completo delle operazioni eseguite dallo script, delle eventuali attività di minaccia correlate e dei passaggi successivi consigliati in base alla valutazione della finalità del file. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.
Profilo dell'attore di minacce
Il prompt del profilo dell'attore di minacce è un modo rapido per ottenere un riepilogo esecutivo su un attore di minacce specifico. Il promptbook cerca tutti gli articoli di intelligence sulle minacce esistenti relativi all'attore, inclusi strumenti noti, tattiche e procedure (TTP) e indicatori, inclusi i suggerimenti per la correzione. Riepiloga quindi i risultati in un report per lettori meno tecnici.
Per eseguire il prompt del profilo dell'attore di minacce:
Selezionare il pulsante Richieste nella barra dei prompt e iniziare a digitare "profilo attore di minacce" fino a quando i promptbook non vengono visualizzati nell'elenco.
Selezionare Profilo attore di minaccia.
Digitare il nome dell'attore di minaccia nella casella di input che indica il nome dell'attore di minaccia.
Selezionare quindi il pulsante Invia nell'angolo superiore sinistro della finestra di dialogo.
Attendere cheSecurity Copilot eservi il nome dell'attore di minacce tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta e si basa su ognuna fino all'ultimo prompt.
Leggere la risposta Security Copilot. L'ultima richiesta di Security Copilot genera un report facilmente leggibile che include informazioni pertinenti sull'attore di minacce identificato. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.
Report di Threat Intelligence 360 basato sull'articolo MDTI
Usando questo promptbook, è possibile ottenere un report dettagliato sul fatto che le minacce illustrate in un determinato articolo di Microsoft Defender Threat Intelligence influiscano sull'organizzazione. compresi gli indicatori pertinenti e le query di ricerca.
Per eseguire questo promptbook:
Assicurarsi di aver attivato il plug-in Microsoft Threat Intelligence seguendo la procedura descritta in Abilitare l'integrazione Security Copilot in Defender TI.
In Security Copilot selezionare il pulsante Richieste nella barra dei prompt e iniziare a digitare il nome del promptbook fino a quando il promptbook non viene visualizzato nell'elenco.
Selezionare il promptbook denominato Report di Threat Intelligence 360 basato sull'articolo MDTI.
Digitare il nome dell'articolo di Defender Threat Intelligence nella casella di input con il nome dell'articolo MDTI.
Selezionare quindi il pulsante Invia nell'angolo superiore sinistro della finestra di dialogo.
Attendere Security Copilot l'esecuzione dell'articolo tramite le diverse richieste. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta e si basa su ognuna fino all'ultimo prompt.
Leggere la risposta Security Copilot.
Valutazione dell'impatto sulla vulnerabilità
Il prompt della valutazione dell'impatto sulla vulnerabilità accetta un numero CVE o un nome di vulnerabilità noto per scoprire se la vulnerabilità è stata divulgata o sfruttata pubblicamente e se è stata usata dagli attori delle minacce nelle loro campagne. Può quindi fornire consigli per affrontare o mitigare la minaccia e riepilogare questi risultati in un riepilogo esecutivo.
Per eseguire questo promptbook:
Selezionare il pulsante Richieste nella barra della richiesta e iniziare a digitare "valutazione dell'impatto della vulnerabilità" fino a quando i promptbook non vengono visualizzati nell'elenco.
Selezionare Valutazione dell'impatto sulla vulnerabilità.
Digitare il numero CVE o il nome comune della vulnerabilità che si vuole conoscere nella casella di input che indica CVEID.
Selezionare quindi il pulsante Invia nell'angolo superiore sinistro della finestra di dialogo.
Attendere Security Copilot eseguire il nome della vulnerabilità o CVE tramite i diversi prompt. Se viene visualizzato un indicatore di stato arrotondato al posto della risposta, il promptbook è ancora in esecuzione. Security Copilot genera risposte per ogni richiesta e si basa su ognuna fino all'ultimo prompt.
Leggere la risposta da Security Copilot. L'ultima richiesta genera un report facilmente leggibile sulla vulnerabilità. Il report include informazioni dettagliate sulle attività di sfruttamento note, inclusi i suggerimenti di mitigazione. Esaminare e verificare se le risposte sono accurate e soddisfano le proprie esigenze.