在 Microsoft Security Copilot 中使用提示簿

Security Copilot附带预生成的提示簿,这是一系列提示,这些提示已组合在一起以完成与安全相关的特定任务。 它们的工作方式与安全 playbook 类似,即可用作模板以自动执行重复步骤的随时可用的工作流,例如,在事件响应或调查方面。 每个预生成提示书都需要特定的输入 (例如,代码片段或威胁参与者名称) 。

可以通过转到提示簿库或选择提示栏中的提示图标“火花图标的屏幕截图”来查找不同的提示手册。 然后,可以搜索提示簿,或选择“ 查看所有提示手册 ”。

可用的提示手册包括:

观看以下视频,详细了解提示手册:

检查外部威胁文章的影响

使用此提示簿,可以分析任何外部威胁情报文章,从中提取指标并收集任何相关的Microsoft Defender 威胁智能文章。

运行此提示书:

  1. 按照在 Defender TI 中启用Security Copilot集成中的步骤,确保已打开Microsoft威胁情报插件。

  2. 在Security Copilot,选择提示栏中的“提示”按钮,然后开始键入名为“检查外部威胁项目的影响”的提示簿的几个字母,直到提示簿出现在列表中。

    外部威胁文章 promptbook 检查影响的屏幕截图。

  3. 提供要从中分析和提取指标的外部威胁情报文章的 URL。

  4. 接下来,选择“ 提交”。

  5. 等待Security Copilot通过不同的提示运行 URL。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 Security Copilot基于每个响应生成每个提示的响应,直到它到达最后一个提示。

  6. 通过Security Copilot读取响应。 可以使用生成的 KQL 查询来帮助调查。

事件调查

在向 Microsoft Sentinel 或 Microsoft Defender XDR 插件提供事件编号后,可以运行事件调查提示簿。 对要使用的插件使用相应的提示手册。 事件调查提示手册包含多个提示,用于为汇总调查的非技术受众生成执行报告。 每个提示都基于上一个提示。

运行Microsoft Sentinel事件调查提示簿:

  1. 选择提示栏中的“提示”按钮,然后开始键入“事件调查”,直到提示簿显示在列表中。

  2. 选择“Microsoft Sentinel事件调查”。 (若要改用 Microsoft Defender XDR 插件,请选择“Microsoft Defender XDR事件调查”。)

    事件调查提示簿的屏幕截图。

  3. 在输入框中提供要调查的事件编号,Sentinel事件 ID

  4. 接下来,选择对话框左上角的“ 提交 ”。

  5. 等待Security Copilot通过不同的提示运行事件编号。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 Security Copilot基于每个响应生成每个提示的响应,直到它到达最后一个提示。

  6. 通过Security Copilot读取响应。 Security Copilot的最后一个提示生成一份执行报告,根据响应总结调查。 查看并验证响应是否准确,以及是否满足你的需求。

Microsoft用户分析

IT 管理员可以使用Microsoft用户分析提示手册来分析和获取跨多个Microsoft 365 产品的用户和关联设备的详细见解。 这包括来自Microsoft Entra ID的登录和身份验证数据、来自Intune的设备信息、来自 Microsoft Purview 的异常活动详细信息,以及突出显示重要检测的Microsoft Defender摘要。

若要从此提示簿获取全面的响应,首先需要激活或确保具有以下角色:

  • 最低Microsoft Entra ID、Intune和 Defender 的安全读取者角色
  • Microsoft Purview 的内部风险管理调查员或分析师角色

运行此提示书:

  1. 转到 Promptbook 库并查找 Microsoft用户分析 提示簿。

  2. 选择 “启动新会话”。

    Microsoft用户分析提示簿的屏幕截图。

  3. 需要以下输入:

    • 用户主体名称或用户的 UPN
    • 希望Security Copilot查找信息的时间范围。
  4. 接下来,选择对话框右上角的“ 提交 ”按钮。

  5. 等待Security Copilot通过不同的提示运行输入。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 Security Copilot为每个提示生成响应,并在每个提示的基础上生成响应,直到它到达最后一个提示。

  6. 从Security Copilot读取响应。 使用来自提示的响应,可以更快地推断被调查的用户是否一直在执行可疑活动,以便可以专注于保护系统的后续步骤。

可疑脚本分析

在调查 PowerShell 或 Windows 命令行脚本时,可疑脚本分析提示簿非常有用。 例如,如果某个 PowerShell 脚本涉及网络中的关键事件,则可以复制脚本正文并运行 Promptbook 以了解有关它的详细信息。

若要运行 promptbook:1.选择提示栏中的“提示”按钮,然后开始键入“可疑脚本分析”,直到提示簿显示在列表中。

  1. 选择 “可疑脚本分析”。

  2. 在“要分析的脚本”的输入框中粘贴要 分析的脚本字符串。

    屏幕截图显示了提示簿中的可疑脚本分析。

  3. 接下来,选择对话框左上角的“ 提交 ”。

  4. 等待Security Copilot通过不同的提示运行脚本内容。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 Security Copilot基于每个响应生成每个提示的响应,直到它到达最后一个提示。

  5. 通过Security Copilot读取响应。 Security Copilot的最后一个提示生成脚本执行的操作、任何相关威胁活动的完整报告,以及基于对文件意向的评估建议的后续步骤。 查看并验证响应是否准确,以及是否满足你的需求。

威胁参与者配置文件

威胁参与者配置文件提示手册是获取有关特定威胁参与者的执行摘要的快速方法。 提示手册查找有关执行组件的任何现有威胁情报文章,包括已知工具、策略和过程 (TTP) 和指标,包括修正建议。 然后,它将调查结果汇总到一份报告中,供技术较少的读者使用。

若要运行威胁参与者配置文件提示簿,请执行以下操作:

  1. 选择提示栏中的“提示”按钮,然后开始键入“威胁参与者配置文件”,直到提示簿显示在列表中。

  2. 选择 “威胁参与者配置文件”。

  3. 在显示“威胁参与者名称”的输入框中键入 威胁参与者的名称

    威胁参与者提示簿的屏幕截图。

  4. 接下来,选择对话框左上角的“ 提交 ”按钮。

  5. 等待安全 Copilot 通过不同的提示运行威胁参与者名称。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 Security Copilot为每个提示生成响应,并在每个提示的基础上生成响应,直到它到达最后一个提示。

  6. 通过 Security Copilot 读取响应。 Security Copilot的最后一个提示将生成一个易于阅读的报告,其中包括有关已识别的威胁参与者的相关信息。 查看并验证响应是否准确,以及是否满足你的需求。

基于 MDTI 文章的威胁情报 360 报告

使用此提示手册,可以获取有关给定Microsoft Defender 威胁智能文章中讨论的威胁是否正在影响组织的详细报告。 包括相关指标和搜寻查询。

运行此提示书:

  1. 按照在 Defender TI 中启用Security Copilot集成中的步骤,确保已打开Microsoft威胁情报插件。

  2. 在“Security Copilot”中,选择提示栏中的“提示”按钮,然后开始键入 promptbook 名称,直到提示簿出现在列表中。

  3. 根据 MDTI 文章选择名为“威胁情报 360 报告”的提示簿。

  4. 在显示 MDTI 文章名称的输入框中键入 Defender 威胁情报 项目的名称

    TI 报告提示簿的屏幕截图。

  5. 接下来,选择对话框左上角的“ 提交 ”按钮。

  6. 等待Security Copilot通过不同的提示运行文章。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 Security Copilot为每个提示生成响应,并在每个提示的基础上生成响应,直到它到达最后一个提示。

  7. 通过 Security Copilot 读取响应。

漏洞影响评估

漏洞影响评估提示书接受 CVE 编号或已知漏洞名称,以了解漏洞是否已公开披露或利用,以及威胁参与者是否在其活动中使用了该漏洞。 然后,它可以提供解决或缓解威胁的建议,并在执行摘要中总结这些发现。

运行此提示书:

  1. 选择提示栏中的“提示”按钮,然后开始键入“漏洞影响评估”,直到提示手册显示在列表中。

  2. 选择 “漏洞影响评估”。

  3. 在输入框中键入要了解的 CVE 编号或常见漏洞名称,指出 CVEID

    漏洞影响评估提示手册的屏幕截图。

  4. 接下来,选择对话框左上角的“ 提交 ”按钮。

  5. 等待Security Copilot通过不同的提示运行漏洞名称或 CVE。 如果看到舍入进度指示器代替响应,则提示簿仍在运行。 Security Copilot为每个提示生成响应,并在每个提示的基础上生成响应,直到它到达最后一个提示。

  6. 从Security Copilot读取响应。 最后一个提示生成有关漏洞的易读报告。 该报告包含有关已知利用活动的详细信息,包括缓解建议。 查看并验证响应是否准确,以及是否满足你的需求。

另请参阅