Utilisation de promptbooks dans Microsoft Security Copilot

  • Article

Security Copilot est fourni avec des promptbooks prédéfinis, une série d’invites qui ont été rassemblées pour accomplir des tâches spécifiques liées à la sécurité. Ils peuvent fonctionner de la même manière que les playbooks de sécurité( workflows prêts à l’emploi qui peuvent servir de modèles pour automatiser des étapes répétitives) pour instance, en ce qui concerne la réponse aux incidents ou les enquêtes. Chaque promptbook prédéfini nécessite une entrée spécifique (par exemple, un extrait de code ou un nom d’acteur de menace).

Vous pouvez trouver les différents guides en accédant à la bibliothèque de promptbooks ou en sélectionnant l’icône Requêtes Capture d’écran de l’icône sparkle. dans la barre d’invite. Vous pouvez ensuite rechercher un promptbook ou sélectionner Afficher tous les guides pour tout afficher.

Les promptbooks disponibles sont les suivants :

Regardez la vidéo suivante pour en savoir plus sur les guides :

Vérifier l’impact d’une menace externe

À l’aide de ce guide, vous pouvez analyser tous les articles de renseignement sur les menaces externes pour en extraire des indicateurs et collecter les Microsoft Defender Threat Intelligence articles pertinents.

Pour exécuter ce manuel d’invite :

  1. Vérifiez que vous avez activé le plug-in Microsoft Threat Intelligence en suivant les étapes décrites dans Activer l’intégration Security Copilot dans Defender TI.

  2. Dans Security Copilot, sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper quelques lettres du guide d’invite nommé Vérifier l’impact d’une menace externe jusqu’à ce que le livre d’invite apparaisse dans la liste.

    Capture d’écran de case activée’impact d’un promptbook d’un article sur les menaces externes.

  3. Fournissez l’URL de l’article de renseignement sur les menaces externe à partir duquel vous souhaitez analyser et extraire des indicateurs.

  4. Ensuite, sélectionnez Envoyer.

  5. Attendez que Security Copilot exécute l’URL via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Security Copilot génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle accède à la dernière invite.

  6. Lisez les réponses par Security Copilot. Vous pouvez utiliser les requêtes KQL générées pour faciliter l’investigation.

Enquête sur les incidents

Vous pouvez exécuter le promptbook d’investigation des incidents après avoir fourni un numéro d’incident au Microsoft Sentinel ou au plug-in Microsoft Defender XDR. Utilisez le promptbook approprié pour le plug-in que vous souhaitez utiliser. Les guides d’enquête sur les incidents contiennent plusieurs invites pour générer un rapport exécutif pour un public non technique qui résume l’enquête. Chaque invite s’appuie sur l’invite précédente.

Pour exécuter le promptbook d’investigation des incidents Microsoft Sentinel :

  1. Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « Investigation d’incident » jusqu’à ce que les guides apparaissent dans la liste.

  2. Sélectionnez Microsoft Sentinel investigation d’incident. (Pour utiliser le plug-in Microsoft Defender XDR à la place, sélectionnez Microsoft Defender XDR investigation d’incident.)

    Capture d’écran du manuel d’invite d’enquête sur les incidents.

  3. Indiquez le numéro d’incident que vous souhaitez examiner dans la zone d’entrée indiquant Sentinel ID d’incident.

  4. Ensuite, sélectionnez Envoyer dans le coin supérieur gauche de la boîte de dialogue.

  5. Attendez que Security Copilot exécute le numéro d’incident via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Security Copilot génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle accède à la dernière invite.

  6. Lisez les réponses par Security Copilot. La dernière invite de Security Copilot génère un rapport exécutif résumant l’enquête en fonction des réponses. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Analyse des utilisateurs Microsoft

Le manuel d’invite d’analyse des utilisateurs Microsoft peut être utilisé par un Administration informatique pour analyser et obtenir des informations détaillées sur un utilisateur et les appareils associés sur plusieurs produits Microsoft 365. Cela inclut les données de connexion et d’authentification de Microsoft Entra ID, les informations sur les appareils de Intune, les détails des activités inhabituelles de Microsoft Purview et un résumé Microsoft Defender mettant en évidence les détections importantes.

Pour obtenir une réponse complète à partir de ce livre d’invite, vous devez d’abord activer ou vérifier que vous disposez des rôles suivants :

  • Rôle lecteur de sécurité pour Microsoft Entra ID, Intune et Defender au minimum
  • Rôle d’enquêteur ou d’analyste de gestion des risques internes pour Microsoft Purview

Pour exécuter ce manuel d’invite :

  1. Accédez à la bibliothèque promptbook et recherchez le manuel d’invite Analyse utilisateur Microsoft .

  2. Sélectionnez Démarrer une nouvelle session.

    Capture d’écran du manuel d’invite d’analyse des utilisateurs Microsoft.

  3. Vous avez besoin des entrées suivantes :

    • nom d’utilisateur principal ou UPN de l’utilisateur
    • l’intervalle de temps que vous souhaitez Security Copilot pour rechercher les informations.

  4. Ensuite, sélectionnez le bouton Envoyer dans le coin supérieur droit de la boîte de dialogue.

  5. Attendez que Security Copilot exécutez vos entrées via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Security Copilot génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.

  6. Lisez la réponse de Security Copilot. À l’aide de la réponse des invites, vous pouvez déduire plus rapidement si l’utilisateur examiné a effectué des activités suspectes afin de pouvoir vous concentrer sur les étapes suivantes de la sécurisation de votre système.

Analyse des scripts suspects

Le manuel d’invite d’analyse de script suspect est utile lorsque vous examinez un script de ligne de commande PowerShell ou Windows. Par exemple, si un script PowerShell a été impliqué dans un incident critique dans votre réseau, vous pouvez copier le corps du script et exécuter le manuel d’invite pour en savoir plus.

Pour exécuter le manuel d’invite : 1.Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « analyse de script suspecte » jusqu’à ce que les promptbooks apparaissent dans la liste.

  1. Sélectionnez Analyse de script suspecte.

  2. Collez la chaîne de script que vous souhaitez analyser dans la zone d’entrée indiquant Script à analyser.

    Capture d’écran montrant une analyse de script suspecte dans un manuel d’invite.

  3. Ensuite, sélectionnez Envoyer dans le coin supérieur gauche de la boîte de dialogue.

  4. Attendez que Security Copilot exécutez le contenu du script via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Security Copilot génère des réponses pour chacune des invites, en s’appuyant sur chaque réponse jusqu’à ce qu’elle accède à la dernière invite.

  5. Lisez les réponses par Security Copilot. La dernière invite de Security Copilot génère un rapport complet de ce que fait le script, des activités liées aux menaces et des étapes suivantes recommandées en fonction de l’évaluation de l’intention du fichier. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Profil d’acteur de menace

Le promptbook de profil d’acteur de menace est un moyen rapide d’obtenir un résumé exécutif sur un acteur de menace spécifique. Le manuel d’invite recherche tous les articles de renseignement sur les menaces existants sur l’acteur, y compris les outils, tactiques et procédures connus (TDP) et les indicateurs, y compris les suggestions de correction. Il résume ensuite les résultats dans un rapport destiné aux lecteurs moins techniques.

Pour exécuter le promptbook du profil d’acteur de menace :

  1. Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « profil d’acteur de menace » jusqu’à ce que les promptbooks apparaissent dans la liste.

  2. Sélectionnez Profil d’acteur de menace.

  3. Tapez le nom de l’acteur de menace dans la zone d’entrée qui indique Nom de l’acteur de menace.

    Capture d’écran du guide d’invite de l’acteur des menaces.

  4. Ensuite, sélectionnez le bouton Envoyer dans le coin supérieur gauche de la boîte de dialogue.

  5. Attendez queSecurity Copilot exécute le nom de l’acteur de menace via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Security Copilot génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.

  6. Lisez la réponse par Security Copilot. La dernière invite de Security Copilot génère un rapport facilement lisible qui inclut des informations pertinentes sur l’acteur de menace identifié. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Rapport Threat Intelligence 360 basé sur l’article MDTI

À l’aide de ce guide, vous pouvez obtenir un rapport détaillé indiquant si les menaces abordées dans un article Microsoft Defender Threat Intelligence donné affectent le organization. y compris les indicateurs pertinents et les requêtes de chasse.

Pour exécuter ce manuel d’invite :

  1. Vérifiez que vous avez activé le plug-in Microsoft Threat Intelligence en suivant les étapes décrites dans Activer l’intégration Security Copilot dans Defender TI.

  2. Dans Security Copilot, sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper le nom du promptbook jusqu’à ce que le promptbook apparaisse dans la liste.

  3. Sélectionnez le promptbook nommé Rapport Threat Intelligence 360 basé sur l’article MDTI.

  4. Tapez le nom de l’article Defender Threat Intelligence dans la zone d’entrée qui indique Nom de l’article MDTI.

    Capture d’écran du manuel d’invite de rapport TI.

  5. Ensuite, sélectionnez le bouton Envoyer dans le coin supérieur gauche de la boîte de dialogue.

  6. Attendez que Security Copilot exécutez l’article via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Security Copilot génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.

  7. Lisez la réponse par Security Copilot.

Évaluation de l’impact sur les vulnérabilités

Le promptbook d’évaluation de l’impact sur les vulnérabilités accepte un numéro CVE ou un nom de vulnérabilité connu pour déterminer si la vulnérabilité a été divulguée ou exploitée publiquement et si elle a été utilisée par les acteurs des menaces dans leurs campagnes. Il peut ensuite fournir des recommandations pour traiter ou atténuer la menace et résumer ces résultats dans un résumé exécutif.

Pour exécuter ce manuel d’invite :

  1. Sélectionnez le bouton Requêtes dans la barre d’invite et commencez à taper « Évaluation de l’impact des vulnérabilités » jusqu’à ce que les guides apparaissent dans la liste.

  2. Sélectionnez Évaluation de l’impact sur les vulnérabilités.

  3. Tapez le numéro CVE ou le nom de vulnérabilité commune que vous souhaitez découvrir dans la zone d’entrée indiquant CVEID.

    Capture d’écran du manuel d’invite sur l’évaluation de l’impact des vulnérabilités.

  4. Ensuite, sélectionnez le bouton Envoyer dans le coin supérieur gauche de la boîte de dialogue.

  5. Attendez que Security Copilot exécutez le nom de la vulnérabilité ou CVE via les différentes invites. Si vous voyez un indicateur de progression arrondie à la place de la réponse, le manuel d’invite est toujours en cours d’exécution. Security Copilot génère des réponses pour chacune des invites et s’appuie sur chacune d’elles jusqu’à ce qu’elle accède à la dernière invite.

  6. Lisez la réponse de Security Copilot. La dernière invite génère un rapport facilement lisible sur la vulnérabilité. Le rapport contient des détails sur les activités d’exploitation connues, y compris des suggestions d’atténuation. Examinez et vérifiez si les réponses sont exactes et répondent à vos besoins.

Voir aussi