Microsoft Copilot for Security でのプロンプトブックの使用

  • [アーティクル]

プロンプトブックとは

Copilot for Security には事前構築済みのプロンプトブックが付属しています。これは、特定のセキュリティ関連タスクを実行するためにまとめられた一連のプロンプトです。 インシデント対応や調査などに関して、繰り返しの手順を自動化するためのテンプレートとして機能するすぐに使用できるワークフローであるセキュリティ プレイブックと同様の方法で機能します。 事前構築済みのプロンプト ブックのそれぞれには、特定の入力 (コード スニペットや脅威アクター名など) が必要です。

プロンプトブックライブラリに移動するか、プロンプトバーでプロンプトアイコンのスクリーンショットアイコンを選択すると、さまざまなプロンプトブックを見つけることができます。 その後、プロンプトブックを検索するか、[すべてのプロンプトブックを表示] を選択してすべてを表示することができます。

プロンプトブックの詳細については、次のビデオをご覧ください。

インシデントの調査

インシデント番号を Microsoft Sentinel または Microsoft Defender XDR プラグインに指定すると、インシデント調査プロンプトブックを実行できます。 使用するプラグイン用の適切なプロンプトブックを使用します。 インシデント調査プロンプトブックには、調査を要約した非技術者向けのエグゼクティブ レポートを生成するためのいくつかのプロンプトが含まれています。 各プロンプトは、前のプロンプトを土台に作成されます。

Microsoft Sentinel インシデント調査プロンプトブックを実行するには以下を行います。

  1. プロンプト バーの [プロンプト] ボタンを選択し、プロンプトブックが一覧に表示されるまで「インシデント調査」と入力し始めます。

  2. [Microsoft Sentinel インシデント調査] を選択します。 (Microsoft Defender XDR プラグインを使用するには、[Microsoft Defender XDR インシデント調査] を選択します)。疑わしいスクリプト分析プロンプトブックのスクリーンショット。

  3. [Sentinel インシデント ID] という入力ボックスに、調査するインシデント番号を入力します。

  4. 次に、ダイアログ ボックスの左上隅にある [実行] を選択します。

  5. Copilot for Security が異なるプロンプトでそのインシデント番号を実行するのを待ちます。 応答ではなく丸い進行状況インジケーターが表示された場合、プロンプトブックが現在も実行中であることを意味します。 Copilot for Security は、各プロンプトへの応答を、各応答を土台として使いながら、最後のプロンプトに達するまで生成します。

  6. Copilot for Security の応答を読みます。 Copilot for Security の最後のプロンプトによって、応答に基づいて調査を要約したエグゼクティブ レポートが生成されます。 応答を確認し、正確でニーズに合っているかどうかを確かめます。

脅威アクター プロファイル

脅威アクター プロファイル プロンプトブックを使うと、特定の脅威アクターに関するエグゼクティブ サマリーを簡単に取得することができます。 このプロンプトブックは、修復に関する提案を含め、アクターに関する既存の脅威インテリジェンス (既知の技術、戦術、手順 (TCP) やインジケーターなど) の記事を検索します。 その後、検索結果を専門知識のあまりない読者向けのレポートにまとめます。

脅威アクター プロファイルプロンプトブックを実行するには:

  1. プロンプト バーの [プロンプト] ボタンを選択し、プロンプトブックが一覧に表示されるまで「脅威アクター プロファイル」と入力し始めます。
  2. [脅威アクター プロファイル] を選択します。
  3. [脅威アクター名] という入力ボックスに脅威アクターの名前を入力します。 脅威アクター プロンプトブックのスクリーンショット。
  4. 次に、ダイアログ ボックスの左上隅にある [実行] ボタンを選択します。
  5. Copilot for Security が異なるプロンプトでその脅威アクター名を実行するのを待ちます。 応答ではなく丸い進行状況インジケーターが表示された場合、プロンプトブックが現在も実行中であることを意味します。 Copilot for Security は、各プロンプトへの応答を生成し、最後のプロンプトに達するまで各応答を土台として使います。
  6. Copilot for Security の応答を読みます。 Copilot for Security の最後のプロンプトによって、特定された脅威アクターに関する適切な情報が記載された読みやすいレポートが生成されます。 応答を確認し、正確でニーズに合っているかどうかを確かめます。

疑わしいスクリプト分析

疑わしいスクリプト分析プロンプトブックは、PowerShell または Windows コマンドライン スクリプトを調査する場合に便利です。 たとえば、PowerShell スクリプトがネットワーク内の重大なインシデントに関与していた場合は、そのスクリプトの本文をコピーし、プロンプトブックを実行して詳細を確認することができます。

プロンプトブックを実行するには以下を行います: 1. プロンプト バーの [プロンプト] ボタンを選択し、プロンプトブックが一覧に表示されるまで「不審なスクリプト分析」と入力し始めます。

  1. [疑わしいスクリプト分析] を選択します。

  2. 分析するスクリプト文字列を [分析するスクリプト] という入力ボックスに貼り付けます。 プロンプトブックの疑わしいスクリプト分析を示すスクリーンショット。

  3. 次に、ダイアログ ボックスの左上隅にある [実行] を選択します。

  4. Copilot for Security が異なるプロンプトでスクリプトのコンテンツを実行するのを待ちます。 応答ではなく丸い進行状況インジケーターが表示された場合、プロンプトブックが現在も実行中であることを意味します。 Copilot for Security は、各プロンプトへの応答を、各応答を土台として使いながら、最後のプロンプトに達するまで生成します。

  5. Copilot for Security の応答を読みます。 Copilot for Security の最後のプロンプトによって、スクリプトの実行内容、関連する脅威アクティビティ、ファイルの意図に関する評価に基づいて推奨される次の手順に関するフル レポートが生成されます。 応答を確認し、正確でニーズに合っているかどうかを確かめます。

脆弱性影響評価

脆弱性影響評価プロンプトブックは、CVE 番号または既知の脆弱性名を受け取り、その脆弱性が公開または悪用されたかどうか、それがキャンペーンで脅威アクターによって使用されたかどうかを確認します。 その後、脅威に対処またはそれを軽減するための推奨事項を提供し、これらの結果をエグゼクティブ サマリーにまとめることができます。

このプロンプトブックを実行するには以下を行います:

  1. プロンプト バーの [プロンプト] ボタンを選択し、プロンプトブックが一覧に表示されるまで「脆弱性影響評価」と入力し始めます。
  2. [脆弱性影響評価] を選択します。
  3. [CVEID] という入力ボックスに、知りたい CVE 番号または一般的な脆弱性名を入力します。 脆弱性影響評価プロンプトブックのスクリーンショット。
  4. 次に、ダイアログ ボックスの左上隅にある [実行] ボタンを選択します。
  5. Copilot for Security が異なるプロンプトでその脆弱性名または CVE を実行するのを待ちます。 応答ではなく丸い進行状況インジケーターが表示された場合、プロンプトブックが現在も実行中であることを意味します。 Copilot for Security は、各プロンプトへの応答を生成し、最後のプロンプトに達するまで各応答を土台として使います。
  6. Copilot for Security からの応答を読みます。 最後のプロンプトによって、脆弱性に関する読みやすいレポートが生成されます。 このレポートには、軽減策に関する推奨事項を含め、既知の悪用アクティビティに関する詳細が記載されます。 応答を確認し、正確でニーズに合っているかどうかを確かめます。

Microsoft ユーザー分析

Microsoft ユーザー分析プロンプトブックは、IT 管理で使用して、複数の Microsoft 365 製品にわたるユーザーと関連デバイスに関する詳細な分析情報を分析および取得できます。 これには、Microsoft Entra IDからのサインインと認証データ、Intuneからのデバイス情報、Microsoft Purview からの異常なアクティビティの詳細、重要な検出を強調表示するMicrosoft Defenderの概要が含まれます。

このプロンプトブックから包括的な応答を得るには、まず、次のロールをアクティブ化するか、または確実に実行する必要があります。

  • Microsoft Entra IDのグローバル閲覧者ロール
  • Entra ID、Intune、Defender のセキュリティ閲覧者ロール
  • Microsoft Purview の Insider Risk Management 調査担当者またはアナリスト ロール

このプロンプトブックを実行するには以下を行います:

  1. プロンプトブック ライブラリに移動し、 Microsoft ユーザー分析 プロンプトブックを探します。
  2. [ 新しいセッションの開始] を選択します Microsoft ユーザー分析プロンプトブックのスクリーンショット。
  3. 次の入力が必要です。
    • ユーザーのユーザー プリンシパル名または UPN
    • Copilot for Security で情報を検索する時間範囲。
  4. 次に、ダイアログ ボックスの右上隅にある [ 送信 ] ボタンを選択します。
  5. Copilot for Security がさまざまなプロンプトで入力を実行するまで待ちます。 応答ではなく丸い進行状況インジケーターが表示された場合、プロンプトブックが現在も実行中であることを意味します。 Copilot for Security は、各プロンプトへの応答を生成し、最後のプロンプトに達するまで各応答を土台として使います。
  6. Copilot for Security からの応答を読みます。 プロンプトからの応答を使用すると、調査中のユーザーが疑わしいアクティビティを実行しているかどうかを迅速に推測できるため、システムのセキュリティ保護に関する次の手順に集中できます。

プロンプトブック ライブラリを表示する

プロンプトブック ライブラリには、組織全体の事前構築済みプロンプトブックとユーザー作成のプロンプトブックの両方が表示されます。 [Copilot for Security]\(セキュリティ\) メニューに移動し、[プロンプトブック ライブラリ] を選択して 、プロンプトブックを表示します。

メニューのライブラリのスクリーンショット。

ホーム ページで [プロンプトブック ライブラリの表示] を選択することもできます。

ホーム ページのライブラリのスクリーンショット。

プロンプトブック ライブラリには、使用可能なすべてのプロンプトブックが表示されます。 プロンプトブックは名前で一覧表示され、説明、所有者、プロンプトの数、必要なプラグイン、入力内容、タグ (ある場合) を表示できます。

ライブラリのスクリーンショット。

ページの左上の領域にある [プロンプトブック ライブラリ] の虫眼鏡アイコンを選択します。 プロンプトブック タイトルの最初の数文字を入力し、結果が読み込まれるのを待ちます。

タグに基づいてフィルター処理することもできます。

関連項目