Partilhar via

Utilizar promptbooks no Microsoft Security Copilot

  • Artigo

Security Copilot inclui promptbooks pré-criados, uma série de pedidos que foram criados para realizar tarefas específicas relacionadas com segurança. Podem funcionar de forma semelhante à dos manuais de procedimentos de segurança , fluxos de trabalho prontos a utilizar que podem servir de modelos para automatizar passos repetitivos, por exemplo, no que diz respeito à resposta a incidentes ou investigações. Cada promptbook pré-criado requer uma entrada específica (por exemplo, um fragmento de código ou um nome de ator de ameaças).

Pode encontrar os diferentes promptbooks ao aceder à biblioteca do promptbook ou ao selecionar o ícone de Solicitações Captura de ecrã do ícone de brilho. Na barra de pedidos. Em seguida, pode procurar um promptbook ou selecionar Ver todos os promptbooks para ver todos.

Os promptbooks disponíveis incluem:

Veja o seguinte vídeo para saber mais sobre os promptbooks:

Verificar o impacto de um artigo sobre ameaças externas

Com este promptbook, pode analisar quaisquer artigos de informações sobre ameaças externas para extrair indicadores do mesmo e recolher quaisquer Informações sobre Ameaças do Microsoft Defender artigo relevantes.

Para executar este promptbook:

  1. Certifique-se de que ative o plug-in do Microsoft Threat Intelligence ao seguir os passos em Ativar a integração do Security Copilot no Defender TI.

  2. No Security Copilot, selecione o botão Solicitações na barra de pedidos e comece a escrever algumas letras do promptbook com o nome Verificar o impacto de um artigo sobre ameaças externas até o promptbook aparecer na lista.

    Captura de ecrã a mostrar marcar impacto de um promptbook de artigos sobre ameaças externas.

  3. Indique o URL do artigo de informações sobre ameaças externas a partir do qual pretende analisar e extrair indicadores.

  4. Em seguida, selecione Submeter.

  5. Aguarde que Security Copilot executem o URL através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. Security Copilot gera respostas para cada um dos pedidos, com base em cada resposta até chegar ao último pedido.

  6. Leia as respostas por Security Copilot. Pode utilizar as consultas KQL geradas para ajudar na investigação.

Investigação de incidentes

Pode executar o promptbook de investigação de incidentes depois de fornecer um número de incidente ao plug-in Microsoft Sentinel ou Microsoft Defender XDR. Utilize o promptbook adequado para o plug-in que pretende utilizar. Os promptbooks de investigação de incidentes contêm vários pedidos para gerar um relatório executivo para uma audiência não tecnológica que resume a investigação. Cada pedido é baseado na linha de comandos anterior.

Para executar o promptbook de investigação de incidentes Microsoft Sentinel:

  1. Selecione o botão Solicitações na barra de pedidos e comece a escrever "investigação de incidentes" até que os promptbooks apareçam na lista.

  2. Selecione Microsoft Sentinel investigação de incidentes. (Em vez disso, para utilizar o plug-in Microsoft Defender XDR, selecione Microsoft Defender XDR investigação de incidentes.)

    Captura de ecrã do promptbook de investigação de incidentes.

  3. Indique o número do incidente que pretende investigar na caixa de entrada que indica Sentinel ID do Incidente.

  4. Em seguida, selecione Submeter no canto superior esquerdo da caixa de diálogo.

  5. Aguarde que Security Copilot execute o número do incidente através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. Security Copilot gera respostas para cada um dos pedidos, com base em cada resposta até chegar ao último pedido.

  6. Leia as respostas por Security Copilot. O último pedido de Security Copilot gera um relatório executivo que resume a investigação com base nas respostas. Analise e verifique se as respostas são precisas e atendem às suas necessidades.

Análise de utilizador da Microsoft

O promptbook de análise do Utilizador microsoft pode ser utilizado por um Administração de TI para analisar e obter informações detalhadas sobre um utilizador e dispositivos associados em vários produtos do Microsoft 365. Isto inclui dados de início de sessão e autenticação de Microsoft Entra ID, informações do dispositivo de Intune, detalhes de atividade invulgares do Microsoft Purview e um resumo Microsoft Defender que realça deteções importantes.

Para obter uma resposta abrangente a partir deste promptbook, primeiro tem de ativar ou certificar-se de que tem as seguintes funções:

  • Função leitor de segurança para Microsoft Entra ID, Intune e Defender no mínimo
  • Função de Investigador ou Analista de Gestão de Riscos Internos para o Microsoft Purview

Para executar este promptbook:

  1. Aceda à biblioteca do Promptbook e procure o promptbook da Análise de Utilizadores da Microsoft .

  2. Selecione Iniciar nova sessão.

    Captura de ecrã do promptbook de análise de utilizador da Microsoft.

  3. Precisa das seguintes entradas:

    • o nome principal de utilizador ou UPN do utilizador
    • o intervalo de tempo que pretende Security Copilot procurar as informações.

  4. Em seguida, selecione o botão Submeter no canto superior direito da caixa de diálogo.

  5. Aguarde que Security Copilot execute as entradas através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. Security Copilot gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.

  6. Leia a resposta do Security Copilot. Com a resposta dos pedidos, pode deduzir mais rapidamente se o utilizador que está a ser investigado tem efetuado atividades suspeitas para que se possa concentrar nos próximos passos para proteger o seu sistema.

Análise de scripts suspeitos

O promptbook de análise de script suspeito é útil quando está a investigar um script da linha de comandos do PowerShell ou do Windows. Por exemplo, se um script do PowerShell estiver envolvido num incidente crítico na sua rede, pode copiar o corpo do script e executar o promptbook para saber mais sobre o mesmo.

Para executar o promptbook: 1.Selecione o botão Solicitações na barra de pedidos e comece a escrever "análise de script suspeita" até que os promptbooks apareçam na lista.

  1. Selecione Análise de scripts suspeitos.

  2. Cole a cadeia de script que pretende analisar na caixa de entrada a indicar Script a analisar.

    Captura de ecrã a mostrar a análise de scripts suspeitos num promptbook.

  3. Em seguida, selecione Submeter no canto superior esquerdo da caixa de diálogo.

  4. Aguarde que Security Copilot execute o conteúdo do script através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. Security Copilot gera respostas para cada um dos pedidos, com base em cada resposta até chegar ao último pedido.

  5. Leia as respostas por Security Copilot. O último pedido de Security Copilot gera um relatório completo do que o script faz, quaisquer atividades relacionadas com ameaças e passos seguintes recomendados com base na avaliação sobre a intenção do ficheiro. Analise e verifique se as respostas são precisas e atendem às suas necessidades.

Perfil de ator de ameaças

O promptbook do perfil do ator de ameaças é uma forma rápida de obter um resumo executivo sobre um ator de ameaças específico. O promptbook procura quaisquer artigos de informações sobre ameaças existentes sobre o ator, incluindo ferramentas conhecidas, táticas e procedimentos (TTPs) e indicadores, incluindo sugestões de remediação. Em seguida, resume as conclusões num relatório para leitores menos técnicos.

Para executar o promptbook do perfil do ator de ameaças:

  1. Selecione o botão Solicitações na barra de pedidos e comece a escrever "perfil de ator de ameaças" até que os promptbooks apareçam na lista.

  2. Selecione Perfil de ator de ameaças.

  3. Escreva o nome do ator de ameaças na caixa de entrada que diz Nome do ator de ameaças.

    Captura de ecrã do promptbook do ator de ameaças.

  4. Em seguida, selecione o botão Submeter no canto superior esquerdo da caixa de diálogo.

  5. Aguarde queSecurity Copilot execute o nome do ator de ameaças através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. Security Copilot gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.

  6. Leia a resposta por Security Copilot. O último pedido de Security Copilot gera um relatório facilmente legível que inclui informações pertinentes sobre o ator de ameaças identificado. Analise e verifique se as respostas são precisas e atendem às suas necessidades.

Relatório do Threat Intelligence 360 baseado no artigo MDTI

Ao utilizar este promptbook, pode obter um relatório detalhado sobre se as ameaças abordadas num determinado artigo de Informações sobre Ameaças do Microsoft Defender estão a afetar a organização. incluindo indicadores relevantes e consultas de investigação.

Para executar este promptbook:

  1. Certifique-se de que ative o plug-in do Microsoft Threat Intelligence ao seguir os passos em Ativar a integração do Security Copilot no Defender TI.

  2. Em Security Copilot, selecione o botão Solicitações na barra de pedidos e comece a escrever o nome do promptbook até o promptbook aparecer na lista.

  3. Selecione o promptbook denominado Relatório do Threat Intelligence 360 com base no artigo MDTI.

  4. Escreva o nome do artigo informações sobre ameaças do Defender na caixa de entrada que diz Nome do Artigo MDTI.

    Captura de ecrã do promptbook do relatório ti.

  5. Em seguida, selecione o botão Submeter no canto superior esquerdo da caixa de diálogo.

  6. Aguarde que Security Copilot execute o artigo através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. Security Copilot gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.

  7. Leia a resposta por Security Copilot.

Avaliação do impacto de vulnerabilidades

O promptbook de avaliação do impacto de vulnerabilidades aceita um número CVE ou um nome de vulnerabilidade conhecido para descobrir se a vulnerabilidade foi divulgada ou explorada publicamente e se foi utilizada por atores de ameaças nas suas campanhas. Em seguida, pode fornecer recomendações para resolver ou mitigar a ameaça e resumir estas conclusões num resumo executivo.

Para executar este promptbook:

  1. Selecione o botão Solicitações na barra de pedidos e comece a escrever "avaliação do impacto de vulnerabilidades" até os promptbooks aparecerem na lista.

  2. Selecione Avaliação do impacto de vulnerabilidades.

  3. Escreva o número CVE ou o nome de vulnerabilidade comum sobre o qual pretende obter informações na caixa de entrada a indicar CVEID.

    Captura de ecrã do promptbook de avaliação do impacto de vulnerabilidades.

  4. Em seguida, selecione o botão Submeter no canto superior esquerdo da caixa de diálogo.

  5. Aguarde até Security Copilot executar o nome da vulnerabilidade ou CVE através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. Security Copilot gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.

  6. Leia a resposta do Security Copilot. O último pedido gera um relatório facilmente legível sobre a vulnerabilidade. O relatório inclui detalhes sobre atividades de exploração conhecidas, incluindo sugestões de mitigação. Analise e verifique se as respostas são precisas e atendem às suas necessidades.

Confira também