Verwenden von Promptbooks in Microsoft Copilot for Security

Was sind Promptbooks?

Copilot for Security verfügt über vordefinierte Promptbooks, eine Reihe von Eingabeaufforderungen, die zusammengestellt wurden, um bestimmte sicherheitsbezogene Aufgaben auszuführen. Sie können auf ähnliche Weise wie Sicherheitsplaybooks funktionieren – sofort einsatzbereite Workflows, die als Vorlagen zum Automatisieren sich wiederholender Schritte dienen können – für instance im Hinblick auf die Reaktion auf Vorfälle oder Untersuchungen. Jedes vordefinierte Promptbook erfordert eine bestimmte Eingabe (z. B. einen Codeausschnitt oder einen Bedrohungsakteurnamen).

Sie können die verschiedenen Promptbooks finden, indem Sie zur Promptbookbibliothek wechseln oder das Prompts Symbol Screenshot des Sparkle-Symbols auswählen. in der Eingabeaufforderungsleiste. Sie können dann nach einem Promptbook suchen oder Alle Promptbooks anzeigen auswählen, um alle anzuzeigen.

Sehen Sie sich das folgende Video an, um mehr über Promptbooks zu erfahren:

Untersuchung von Vorfällen

Sie können das Promptbook zur Untersuchung von Vorfällen ausführen, nachdem Sie eine Incidentnummer für das Microsoft Sentinel- oder Microsoft Defender XDR-Plug-In bereitgestellt haben. Verwenden Sie das entsprechende Promptbook für das Plug-In, das Sie verwenden möchten. Die Promptbooks zur Untersuchung von Vorfällen enthalten mehrere Aufforderungen zum Generieren eines Executive-Berichts für eine nicht technische Zielgruppe, der die Untersuchung zusammenfasst. Jede Eingabeaufforderung baut auf der vorherigen Eingabeaufforderung auf.

So führen Sie das Microsoft Sentinel Promptbook zur Untersuchung von Vorfällen aus:

  1. Wählen Sie die Schaltfläche Prompts in der Eingabeaufforderungsleiste aus, und geben Sie "Incidentuntersuchung" ein, bis die Promptbooks in der Liste angezeigt werden.

  2. Wählen Sie Microsoft Sentinel Incidentuntersuchung aus. (Um stattdessen das Microsoft Defender XDR-Plug-In zu verwenden, wählen Sie Microsoft Defender XDR Incidentuntersuchung aus.) Screenshot des Promptbooks für die Analyse verdächtiger Skripts.

  3. Geben Sie die Incidentnummer, die Sie untersuchen möchten, im Eingabefeld Sentinel Incident-ID an.

  4. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds Ausführen aus.

  5. Warten Sie, bis Copilot for Security die Incidentnummer über die verschiedenen Eingabeaufforderungen ausgeführt hat. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Copilot for Security generiert Antworten für jede der Eingabeaufforderungen und baut auf jeder Antwort auf, bis sie zur letzten Eingabeaufforderung gelangt.

  6. Lesen Sie die Antworten von Copilot for Security. Die letzte Aufforderung von Copilot for Security generiert einen Executive-Bericht, der die Untersuchung basierend auf den Antworten zusammenfasst. Überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Bedrohungsakteurprofil

Das Profil-Promptbook für Bedrohungsakteur ist eine schnelle Möglichkeit, eine Zusammenfassung zu einem bestimmten Bedrohungsakteur zu erhalten. Das Promptbook sucht nach vorhandenen Threat Intelligence-Artikeln über den Akteur, einschließlich bekannter Tools, Taktiken und Verfahren (TTPs) und Indikatoren, einschließlich Korrekturvorschlägen. Anschließend fasst er die Ergebnisse in einem Bericht für weniger technische Leser zusammen.

So führen Sie das Promptbook für das Bedrohungsakteur-Profil aus:

  1. Wählen Sie in der Eingabeaufforderungsleiste die Schaltfläche Prompts aus, und geben Sie "Bedrohungsakteurprofil" ein, bis die Promptbooks in der Liste angezeigt werden.
  2. Wählen Sie Bedrohungsakteurprofil aus.
  3. Geben Sie den Namen des Bedrohungsakteurs in das Eingabefeld ein, das name des Bedrohungsakteurs lautet. Screenshot: Promptbook für Bedrohungsakteur
  4. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds die Schaltfläche Ausführen aus.
  5. Warten Sie, bis Copilot for Security den Namen des Bedrohungsakteurs über die verschiedenen Eingabeaufforderungen ausgeführt hat. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Copilot for Security generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.
  6. Lesen Sie die Antwort von Copilot für Security. Die letzte Aufforderung von Copilot for Security generiert einen leicht lesbaren Bericht, der relevante Informationen zum identifizierten Bedrohungsakteur enthält. Überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Verdächtige Skriptanalyse

Das Eingabeaufforderungsbuch für die Verdächtige Skriptanalyse ist nützlich, wenn Sie ein PowerShell- oder Windows-Befehlszeilenskript untersuchen. Wenn beispielsweise ein PowerShell-Skript an einem kritischen Incident in Ihrem Netzwerk beteiligt war, können Sie den Text des Skripts kopieren und das Promptbook ausführen, um mehr darüber zu erfahren.

So führen Sie das Promptbook aus: 1.Wählen Sie die Schaltfläche Prompts in der Eingabeaufforderungsleiste aus, und geben Sie "Verdächtige Skriptanalyse" ein, bis die Promptbooks in der Liste angezeigt werden.

  1. Wählen Sie Verdächtige Skriptanalyse aus.

  2. Fügen Sie die Skriptzeichenfolge, die analysiert werden soll, in das Eingabefeld skript to analyze (Zu analysierende Skript) ein. Screenshot: Verdächtige Skriptanalyse in einem Promptbook

  3. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds Ausführen aus.

  4. Warten Sie, bis Copilot for Security den Skriptinhalt über die verschiedenen Eingabeaufforderungen ausgeführt hat. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Copilot for Security generiert Antworten für jede der Eingabeaufforderungen und baut auf jeder Antwort auf, bis sie zur letzten Eingabeaufforderung gelangt.

  5. Lesen Sie die Antworten von Copilot for Security. Die letzte Aufforderung von Copilot for Security generiert einen vollständigen Bericht über die Funktionsweise des Skripts, alle zugehörigen Bedrohungsaktivitäten und die empfohlenen nächsten Schritte basierend auf der Bewertung der Dateiabsicht. Überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Bewertung der Auswirkungen auf Sicherheitsrisiken

Das Promptbook zur Bewertung der Auswirkungen auf Sicherheitsrisiken akzeptiert eine CVE-Nummer oder einen bekannten Sicherheitsrisikonamen, um herauszufinden, ob die Sicherheitsanfälligkeit öffentlich offengelegt oder ausgenutzt wurde und ob sie von Bedrohungsakteuren in ihren Kampagnen verwendet wurde. Anschließend kann es Empfehlungen zur Bekämpfung oder Entschärfung der Bedrohung geben und diese Ergebnisse in einer Zusammenfassung zusammenfassen.

So führen Sie dieses Promptbook aus:

  1. Wählen Sie in der Eingabeaufforderungsleiste die Schaltfläche Prompts aus, und geben Sie "Bewertung der Sicherheitsrisiken" ein, bis die Promptbooks in der Liste angezeigt werden.
  2. Wählen Sie Bewertung der Auswirkungen auf Sicherheitsrisiken aus.
  3. Geben Sie im Eingabefeld CVEID die CVE-Nummer oder den Allgemeinen Sicherheitsrisikonamen ein, über die Sie weitere Informationen erhalten möchten. Screenshot: Promptbook zur Bewertung der Auswirkungen auf Sicherheitsrisiken.
  4. Wählen Sie als Nächstes in der oberen linken Ecke des Dialogfelds die Schaltfläche Ausführen aus.
  5. Warten Sie, bis Copilot for Security den Sicherheitsrisikonamen oder CVE über die verschiedenen Eingabeaufforderungen ausgeführt hat. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Security Copilot generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.
  6. Lesen Sie die Antwort von Copilot for Security. Die letzte Eingabeaufforderung generiert einen leicht lesbaren Bericht über die Sicherheitsanfälligkeit. Der Bericht enthält Details zu bekannten Nutzungsaktivitäten, einschließlich Vorschlägen zur Entschärfung. Überprüfen Sie, ob die Antworten korrekt sind und Ihren Anforderungen entsprechen.

Microsoft-Benutzeranalyse

Das Microsoft User Analysis Promptbook kann von einem IT-Admin verwendet werden, um einen Benutzer und zugehörige Geräte in mehreren Microsoft 365-Produkten zu analysieren und detaillierte Einblicke zu erhalten. Dazu gehören Anmelde- und Authentifizierungsdaten von Microsoft Entra ID, Geräteinformationen von Intune, Details zu ungewöhnlichen Aktivitäten von Microsoft Purview und eine Microsoft Defender Zusammenfassung, die wichtige Erkennungen hervorhebung.

Um eine umfassende Antwort aus diesem Promptbook zu erhalten, müssen Sie zuerst aktivieren oder sicherstellen, dass Sie über die folgenden Rollen verfügen:

  • Rolle "Globaler Leser" für Microsoft Entra ID
  • Rolle "Sicherheitsleseberechtigter" für Entra ID, Intune und Defender
  • Rolle "Insider-Risikomanagement" oder "Analyst" für Microsoft Purview

So führen Sie dieses Promptbook aus:

  1. Wechseln Sie zur Eingabeaufforderungsbibliothek, und suchen Sie nach dem Eingabeaufforderungsbuch für die Microsoft-Benutzeranalyse .
  2. Wählen Sie Neue Sitzung starten aus. Screenshot des Microsoft-Eingabeaufforderungsbuchs für die Benutzeranalyse.
  3. Sie benötigen die folgenden Eingaben:
    • Benutzerprinzipalname oder UPN des Benutzers
    • der Zeitbereich, in dem Copilot for Security die Informationen suchen soll.
  4. Wählen Sie als Nächstes in der oberen rechten Ecke des Dialogfelds die Schaltfläche Senden aus.
  5. Warten Sie, bis Copilot for Security Ihre Eingaben über die verschiedenen Eingabeaufforderungen ausgeführt hat. Wenn anstelle der Antwort eine runde Statusanzeige angezeigt wird, wird das Promptbook weiterhin ausgeführt. Copilot for Security generiert Antworten für jede der Eingabeaufforderungen und baut darauf auf, bis die letzte Eingabeaufforderung angezeigt wird.
  6. Lesen Sie die Antwort von Copilot for Security. Mithilfe der Antwort aus den Eingabeaufforderungen können Sie schneller ableiten, ob der untersuchte Benutzer verdächtige Aktivitäten ausgeführt hat, damit Sie sich auf Ihre nächsten Schritte zur Sicherung Ihres Systems konzentrieren können.

Anzeigen der Promptbookbibliothek

Sowohl vordefinierte als auch vom Benutzer erstellte Promptbooks in Ihren organization werden in der Promptbookbibliothek angezeigt. Zeigen Sie die Promptbooks an, indem Sie zum Menü Copilot for Security wechseln und Promptbookbibliothek auswählen.

Screenshot der Bibliothek im Menü.

Sie können auf der Startseite auch Eingabeaufforderungsbibliothek anzeigen auswählen.

Screenshot der Bibliothek auf der Startseite.

In der Promptbookbibliothek werden alle verfügbaren Promptbooks angezeigt. Die Promptbooks werden nach Namen aufgelistet, und Sie können die Beschreibung, den Besitzer, die Anzahl der Eingabeaufforderungen, die erforderlichen Plug-Ins, Eingaben und Tags anzeigen, falls vorhanden.

Screenshot der Bibliothek.

Wählen Sie das Lupensymbol in der Eingabeaufforderungsbibliothek im oberen linken Bereich der Seite aus. Geben Sie die ersten Buchstaben ihres Promptbooktitels ein, und warten Sie, bis die Ergebnisse geladen werden.

Sie können auch nach Tags filtern.

Siehe auch