Opisywanie elementów efektywnego monitu

  • 4 min

W poprzedniej lekcji zdefiniowaliśmy monit jako oparte na tekście dane wejściowe języka naturalnego podane na pasku monitu, który nakazuje firmie Microsoft Security Copilot wygenerowanie odpowiedzi. Copilot udostępnia elementy monitów i sugestie monitów, które są przydatne, szczególnie jeśli dopiero rozpoczynasz badanie zdarzeń. W pewnym momencie jednak konieczne będzie wprowadzenie własnych monitów. W takich przypadkach jakość odpowiedzi zwracanej przez Copilot zależy w dużej mierze od jakości użytego monitu. Ogólnie rzecz biorąc, dobrze spreparowany monit z jasnymi i określonymi danymi wejściowymi prowadzi do bardziej przydatnych odpowiedzi przez Copilot.

Elementy skutecznego monitu

Skuteczne monity dają Copilot odpowiednie i przydatne parametry, aby wygenerować cenną odpowiedź. Analitycy zabezpieczeń lub naukowcy powinni uwzględnić następujące elementy podczas pisania monitu.

  • Cel — specyficzne informacje dotyczące zabezpieczeń, które są potrzebne
  • Kontekst — dlaczego potrzebne są te informacje lub sposób ich używania
  • Oczekiwania — format lub docelowy odbiorca, do którego ma być dopasowana odpowiedź
  • Źródło — powinny być używane znane informacje, źródła danych lub wtyczki Copilot

Diagram przedstawiający cztery elementy efektywnego monitu: cel, kontekst, oczekiwania i źródło.

Każdy dobry monit powinien mieć cel. Niezależnie od tego, czy są to instrukcje, czy pytania, powinny wskazywać, czego chcesz użyć w bieżącej sesji.

W przypadku narzędzia Copilot kontekst może odwoływać się do przedziału czasu lub użyć odpowiedzi dla raportu. Oczekiwania mogą obejmować odpowiedź w formacie tabeli, listę kroków akcji, podsumowanie, a nawet diagram. Źródło może być przydatne podczas określania wtyczek firmy Microsoft, do których się odwołujesz, w razie potrzeby. Niektóre wtyczki wymagają większej liczby kontekstów, aby efektywnie pracować lub obsługiwać wtyczki, aby zapewnić odpowiedź, gdy początkowe odpowiedzi kończą się niepowodzeniem.

Obejrzyj ten krótki film wideo, aby uzyskać podsumowanie dotyczące tworzenia skutecznych monitów.

Inne porady dotyczące monitowania

Niektóre kwestie, które należy zapamiętać podczas tworzenia własnych monitów:

  • Bądź konkretny, jasny i zwięzły, jak najwięcej informacji o tym, co chcesz osiągnąć. Zawsze możesz zacząć od pierwszego monitu, ale gdy zapoznasz się z Copilotem, dołącz więcej szczegółów po elementach skutecznego monitu.

    • Podstawowy monit: Pearl Sleet aktor
    • Lepszy monit: Czy możesz przekazać mi informacje o aktywności Pearl Sleet, w tym listę znanych wskaźników kompromisu i narzędzi, taktyki i procedur (TTPs)?

  • Iteracji. Kolejne monity są zwykle potrzebne, aby dokładniej wyjaśnić, czego potrzebujesz lub wypróbować inne wersje monitu, aby zbliżyć się do tego, czego szukasz. Podobnie jak w przypadku wszystkich systemów opartych na technologii LLM, Copilot może reagować na ten sam monit w nieco inny sposób.

  • Podaj niezbędny kontekst, aby zawęzić miejsce, w którym copilot szuka danych.

    • Podstawowy monit: podsumowanie zdarzenia 15134.
    • Lepszy monit: Podsumuj zdarzenie 15134 w usłudze Microsoft Defender XDR do akapitu, który mogę przesłać do mojego menedżera i utworzyć listę zaangażowanych jednostek.

  • Przekaż pozytywne instrukcje zamiast "czego nie robić". Copilot jest ukierunkowany na działania, więc mówienie mu, co chcesz zrobić dla wyjątków, jest bardziej produktywne.

    • Monit podstawowy: Nadaj mi listę niezarządzanych urządzeń w mojej sieci.
    • Lepszy monit: Podaj mi listę niezarządzanych urządzeń o wysokim ryzyku w mojej sieci. Jeśli są one nazwane "test", usuń je z listy.

  • Bezpośrednio adres Copilot jako "Ty", jak w : "Powinieneś ..." lub "Musisz ...", ponieważ jest to bardziej skuteczne niż odwoływania się do niego jako modelu lub asystenta.

Chociaż te wytyczne mogą pomóc w rozpoczęciu tworzenia monitów, należy pamiętać, że tworzenie monitów nie jest ograniczone do tworzenia monitów zgodnie ze strukturą poprzednich przykładów. Co jest wspaniałe w Copilot jest to, że jest przeznaczony do odpowiadania na pytania lub instrukcje wykonane we własnych słowach (czyli przy użyciu języka naturalnego).

Masz elastyczność dostosowywania tych wytycznych do konkretnych potrzeb.