Utilizar promptbooks no Microsoft Copilot para Segurança

  • Artigo

O que são os promptbooks?

O Copilot for Security inclui promptbooks pré-criados, uma série de pedidos que foram criados para realizar tarefas específicas relacionadas com segurança. Podem funcionar de forma semelhante à dos manuais de procedimentos de segurança , fluxos de trabalho prontos a utilizar que podem servir de modelos para automatizar passos repetitivos, por exemplo, no que diz respeito à resposta a incidentes ou investigações. Cada promptbook pré-criado requer uma entrada específica (por exemplo, um fragmento de código ou um nome de ator de ameaças).

Pode encontrar os diferentes promptbooks ao aceder à biblioteca do promptbook ou ao selecionar o ícone de Solicitações Captura de ecrã do ícone de brilho. Na barra de pedidos. Em seguida, pode procurar um promptbook ou selecionar Ver todos os promptbooks para ver todos.

Veja o seguinte vídeo para saber mais sobre os promptbooks:

Investigação de incidentes

Pode executar o promptbook de investigação de incidentes depois de fornecer um número de incidente ao plug-in Microsoft Sentinel ou Microsoft Defender XDR. Utilize o promptbook adequado para o plug-in que pretende utilizar. Os promptbooks de investigação de incidentes contêm vários pedidos para gerar um relatório executivo para uma audiência não tecnológica que resume a investigação. Cada pedido é baseado na linha de comandos anterior.

Para executar o promptbook de investigação de incidentes Microsoft Sentinel:

  1. Selecione o botão Solicitações na barra de pedidos e comece a escrever "investigação de incidentes" até que os promptbooks apareçam na lista.

  2. Selecione Microsoft Sentinel investigação de incidentes. (Em vez disso, para utilizar o plug-in Microsoft Defender XDR, selecione Microsoft Defender XDR investigação de incidentes.) Captura de ecrã do promptbook de análise de scripts suspeitos.

  3. Indique o número do incidente que pretende investigar na caixa de entrada que indica Sentinel ID do Incidente.

  4. Em seguida, selecione Executar no canto superior esquerdo da caixa de diálogo.

  5. Aguarde que a Segurança execute o número do incidente através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. O Copilot for Security gera respostas para cada um dos pedidos, com base em cada resposta até chegar à última linha de comandos.

  6. Leia as respostas de Copilot for Security. O último pedido de Copilot for Security gera um relatório executivo que resume a investigação com base nas respostas. Analise e verifique se as respostas são precisas e atendem às suas necessidades.

Perfil de ator de ameaças

O promptbook do perfil do ator de ameaças é uma forma rápida de obter um resumo executivo sobre um ator de ameaças específico. O promptbook procura quaisquer artigos de informações sobre ameaças existentes sobre o ator, incluindo ferramentas conhecidas, táticas e procedimentos (TTPs) e indicadores, incluindo sugestões de remediação. Em seguida, resume as conclusões num relatório para leitores menos técnicos.

Para executar o promptbook do perfil do ator de ameaças:

  1. Selecione o botão Solicitações na barra de pedidos e comece a escrever "perfil de ator de ameaças" até que os promptbooks apareçam na lista.
  2. Selecione Perfil de ator de ameaças.
  3. Escreva o nome do ator de ameaças na caixa de entrada que diz Nome do ator de ameaças. Captura de ecrã do promptbook do ator de ameaças.
  4. Em seguida, selecione o botão Executar no canto superior esquerdo da caixa de diálogo.
  5. Aguarde que a Segurança execute o nome do ator de ameaças através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. O Copilot for Security gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.
  6. Leia a resposta do Microsoft Copilot para Segurança. O último pedido de Copilot for Security gera um relatório facilmente legível que inclui informações pertinentes sobre o ator de ameaças identificado. Analise e verifique se as respostas são precisas e atendem às suas necessidades.

Análise de scripts suspeitos

O promptbook de análise de script suspeito é útil quando está a investigar um script da linha de comandos do PowerShell ou do Windows. Por exemplo, se um script do PowerShell estiver envolvido num incidente crítico na sua rede, pode copiar o corpo do script e executar o promptbook para saber mais sobre o mesmo.

Para executar o promptbook: 1.Selecione o botão Solicitações na barra de pedidos e comece a escrever "análise de script suspeita" até que os promptbooks apareçam na lista.

  1. Selecione Análise de scripts suspeitos.

  2. Cole a cadeia de script que pretende analisar na caixa de entrada a indicar Script a analisar. Captura de ecrã a mostrar a análise de scripts suspeitos num promptbook.

  3. Em seguida, selecione Executar no canto superior esquerdo da caixa de diálogo.

  4. Aguarde que a Segurança execute o conteúdo do script através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. O Copilot for Security gera respostas para cada um dos pedidos, com base em cada resposta até chegar à última linha de comandos.

  5. Leia as respostas de Copilot for Security. O último pedido da Copilot for Security gera um relatório completo do que o script faz, quaisquer atividades relacionadas com ameaças e passos seguintes recomendados com base na avaliação sobre a intenção do ficheiro. Analise e verifique se as respostas são precisas e atendem às suas necessidades.

Avaliação do impacto de vulnerabilidades

O promptbook de avaliação do impacto de vulnerabilidades aceita um número CVE ou um nome de vulnerabilidade conhecido para descobrir se a vulnerabilidade foi divulgada ou explorada publicamente e se foi utilizada por atores de ameaças nas suas campanhas. Em seguida, pode fornecer recomendações para resolver ou mitigar a ameaça e resumir estas conclusões num resumo executivo.

Para executar este promptbook:

  1. Selecione o botão Solicitações na barra de pedidos e comece a escrever "avaliação do impacto de vulnerabilidades" até os promptbooks aparecerem na lista.
  2. Selecione Avaliação do impacto de vulnerabilidades.
  3. Escreva o número CVE ou o nome de vulnerabilidade comum sobre o qual pretende obter informações na caixa de entrada a indicar CVEID. Captura de ecrã do promptbook de avaliação do impacto de vulnerabilidades.
  4. Em seguida, selecione o botão Executar no canto superior esquerdo da caixa de diálogo.
  5. Aguarde que a Segurança execute o nome da vulnerabilidade ou o CVE através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. Copilot da Segurança gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.
  6. Leia a resposta de Copilot for Security. O último pedido gera um relatório facilmente legível sobre a vulnerabilidade. O relatório inclui detalhes sobre atividades de exploração conhecidas, incluindo sugestões de mitigação. Analise e verifique se as respostas são precisas e atendem às suas necessidades.

Análise de utilizador da Microsoft

O promptbook de análise do Utilizador microsoft pode ser utilizado por um Administração de TI para analisar e obter informações detalhadas sobre um utilizador e dispositivos associados em vários produtos do Microsoft 365. Isto inclui dados de início de sessão e autenticação de Microsoft Entra ID, informações do dispositivo de Intune, detalhes de atividade invulgares do Microsoft Purview e um resumo Microsoft Defender que realça deteções importantes.

Para obter uma resposta abrangente a partir deste promptbook, primeiro tem de ativar ou certificar-se de que tem as seguintes funções:

  • Função de Leitor Global para Microsoft Entra ID
  • Função leitor de segurança para Entra ID, Intune e Defender
  • Função de Investigador ou Analista de Gestão de Riscos Internos para o Microsoft Purview

Para executar este promptbook:

  1. Aceda à biblioteca do Promptbook e procure o promptbook da Análise de Utilizadores da Microsoft .
  2. Selecione Iniciar nova sessão. Captura de ecrã do promptbook de análise de utilizador da Microsoft.
  3. Precisa das seguintes entradas:
    • o nome principal de utilizador ou UPN do utilizador
    • o intervalo de tempo que pretende que o Copilot for Security procure as informações.
  4. Em seguida, selecione o botão Submeter no canto superior direito da caixa de diálogo.
  5. Aguarde que o Copilot para a Segurança execute as suas entradas através dos diferentes pedidos. Se vir um indicador de progresso redondo em vez da resposta, o promptbook ainda está em execução. O Copilot for Security gera respostas para cada um dos pedidos e baseia-se em cada um até chegar à última linha de comandos.
  6. Leia a resposta de Copilot for Security. Com a resposta dos pedidos, pode deduzir mais rapidamente se o utilizador que está a ser investigado tem efetuado atividades suspeitas para que se possa concentrar nos próximos passos para proteger o seu sistema.

Ver a biblioteca do promptbook

Os promptbooks pré-criados e criados pelo utilizador em toda a sua organização aparecem na biblioteca do promptbook. Veja os promptbooks ao aceder ao menu Copilot for Security e selecionar Biblioteca do Promptbook.

Captura de ecrã da biblioteca no menu.

Também pode selecionar Ver biblioteca de promptbooks na home page.

Captura de ecrã da biblioteca na home page.

A biblioteca do promptbook apresenta todos os promptbooks disponíveis para si. Os promptbooks são listados pelo nome e pode ver a descrição, o proprietário, o número de pedidos, os plug-ins, entradas e etiquetas necessários, se existirem.

Captura de ecrã da biblioteca.

Selecione o ícone de lupa na biblioteca do Promptbook na região superior esquerda da página. Escreva as primeiras letras do título do seu promptbook e aguarde que os resultados sejam carregados.

Também pode filtrar com base em etiquetas.

Confira também