Описывать элементы эффективного запроса.

  • 4 мин

В предыдущем уроке мы определили запрос как текстовый ввод естественного языка, предоставленный на панели запроса, который указывает Microsoft Security Copilot создать ответ. Copilot предоставляет подсказки и предложения по запросу, которые полезны, особенно если вы только начинаете расследование инцидента. Однако в какой-то момент вам потребуется ввести собственные запросы. В таких случаях качество ответа, возвращаемого Copilot, зависит от качества используемого запроса. Как правило, хорошо созданный запрос с четкими и конкретными входными данными приводит к более полезным ответам Copilot.

Элементы эффективного запроса

Эффективные запросы дают Copilot достаточные и полезные параметры для создания ценных ответов. Аналитики или исследователи по вопросам безопасности должны включать в свой запрос следующие элементы:

  • Цель — конкретная необходимая вам информация, связанная с безопасностью
  • Контекст — зачем вам нужна эта информация или как вы будете ее использовать
  • Ожидания — формат ответа или целевая аудитория, особенности которой должны быть учтены в ответе
  • Источник — известная информация, источники данных или подключаемые модули, которые должен использовать Copilot

Схема того, что четыре элемента эффективного запроса: цель, контекст, ожидания и источник.

Каждый хороший запрос должен иметь цель. Независимо от того, приходит ли он в виде инструкций или вопросов, он должен указывать, что вы хотите из текущего сеанса.

Для Copilot контекст может ссылаться на интервал времени или использовать ответ для отчета. Ожидания могут включать в себя, должен ли ответ находиться в формате таблицы, списке действий, сводке или даже схеме. Источник может быть полезен при указании подключаемых модулей Майкрософт, к которым вы ссылаетесь при необходимости. Некоторые подключаемые модули требуют больше контекста для эффективной работы или поддержки подключаемых модулей, чтобы обеспечить ответ при сбое начальных ответов.

Просмотрите это короткое видео, чтобы узнать, как создавать эффективные запросы.

Другие советы по запросу

Некоторые вещи, которые следует помнить при появлении ваших собственных запросов:

  • Быть конкретным, ясным и кратким, как можно больше о том, что вы хотите достичь. Вы всегда можете начать с первого запроса, но по мере того как вы получите более знакомый с Copilot, включите дополнительные сведения после элементов эффективного запроса.

    • Базовый запрос: Перл Sleet актер
    • Лучший запрос: Можете ли вы дать мне информацию об активности Перл Sleet, включая список известных индикаторов компрометации и инструментов, тактики и процедур (TTPs)?

  • Повторять. Последующие запросы обычно необходимы для дальнейшего уточнения того, что вам нужно или попробовать другие версии запроса, чтобы приблизиться к тому, что вы ищете. Как и все системы на основе LLM, Copilot может реагировать на один и тот же запрос немного разными способами.

  • Укажите необходимый контекст, чтобы сузить место поиска данных в Copilot.

    • Базовый запрос: сводка инцидента 15134.
    • Лучший запрос: сводка инцидента 15134 в XDR в Microsoft Defender в абзац, который я могу отправить своему руководителю и создать список участвующих сущностей.

  • Дайте положительные инструкции вместо того, чтобы "что не делать". Copilot ориентирован на действие, поэтому говорю ему, что вы хотите сделать для исключений является более продуктивным.

    • Базовый запрос: предоставьте мне список неуправляемых устройств в моей сети.
    • Лучший запрос: предоставьте мне список неуправляемых устройств с высоким риском в моей сети. Если они называются "test", удалите их из списка.

  • Прямой адрес Copilot как "Вы" как в: "Вы должны ..." или "Вы должны ...", так как это более эффективно, чем это называется моделью или помощником.

Хотя эти рекомендации помогут вам приступить к созданию запросов, важно отметить, что вы не ограничены формированием запросов после структуры предыдущих примеров. Что хорошо о Copilot заключается в том, что он предназначен для ответа на вопросы или инструкции, сделанные в ваших собственных словах (т. е. с использованием естественного языка).

Вы можете адаптировать эти рекомендации к конкретным потребностям.