Использование модулей командной строки в Microsoft Copilot для безопасности

Что такое модули командной строки?

Copilot for Security поставляется с предварительно созданными модулями командной строки— серией запросов, которые были собраны для выполнения конкретных задач, связанных с безопасностью. Они могут функционировать аналогично сборникам схем безопасности — готовым к использованию рабочим процессам, которые могут служить шаблонами для автоматизации повторяющихся шагов, например в отношении реагирования на инциденты или расследований. Для каждого предварительно созданного модуля командной строки требуются определенные входные данные (например, фрагмент кода или имя субъекта угроз).

Вы можете найти различные книги подсказок, перейдя в библиотеку promptbook или выбрав значок Запросы Снимок экрана: сверкающий значок. На панели запросов. Затем можно выполнить поиск по запросу или выбрать Просмотреть все книги подсказок , чтобы просмотреть все.

Просмотрите следующее видео, чтобы узнать больше о модулях командной строки:

Исследование инцидента

Вы можете запустить сборник запросов на исследование инцидентов, указав номер инцидента в Microsoft Sentinel или Microsoft Defender XDR подключаемом модуле. Используйте соответствующий модуль командной строки для подключаемого модуля, который вы хотите использовать. Сборники подсказок по расследованию инцидентов содержат несколько подсказок для создания исполнительного отчета для нетехнической аудитории, в котором приводится сводка исследования. Каждый запрос основан на предыдущем запросе.

Чтобы запустить модуль командной строки Microsoft Sentinel исследования инцидентов, выполните следующие действия:

  1. Нажмите кнопку Запросы на панели запросов и начинайте вводить "исследование инцидента", пока в списке не появятся книги подсказок.

  2. Выберите Microsoft Sentinel анализ инцидента. (Чтобы использовать подключаемый модуль Microsoft Defender XDR, выберите Microsoft Defender XDR исследование инцидента.) Снимок экрана: модуль командной строки для анализа подозрительных скриптов.

  3. Укажите номер инцидента, который требуется исследовать, в поле ввода с Sentinel идентификатор инцидента.

  4. Затем выберите Выполнить в левом верхнем углу диалогового окна.

  5. Дождитесь, пока Copilot for Security выполнит номер инцидента с помощью различных запросов. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Copilot for Security создает ответы для каждого запроса, основываясь на каждом ответе, пока не дойдет до последнего запроса.

  6. Прочитайте ответы Copilot for Security. Последний запрос От Copilot for Security создает исполнительный отчет, содержащий сводку исследования на основе ответов. Проверьте и убедитесь, что ответы являются точными и соответствуют ли вашим потребностям.

Профиль субъекта угроз

Модуль командной строки профиля субъекта угроз — это быстрый способ получить сводку о конкретном субъекте угроз. В сборнике запросов будут искаться все существующие статьи об аналитике угроз об субъекте, включая известные инструменты, тактики и процедуры (TTP) и индикаторы, включая предложения по исправлению. Затем он суммирует результаты в отчет для менее технических читателей.

Чтобы запустить модуль командной строки профиля субъекта угроз, выполните следующие действия.

  1. Нажмите кнопку Запросы на панели запросов и начните вводить "профиль субъекта угроз", пока в списке не появятся книги подсказок.
  2. Выберите Профиль субъекта угроз.
  3. Введите имя субъекта угроз во входном поле, в поле имя субъекта угроз. Снимок экрана: модуль командной строки субъекта угроз.
  4. Затем нажмите кнопку Выполнить в левом верхнем углу диалогового окна.
  5. Дождитесь, пока Copilot for Security выполнит имя субъекта угрозы через различные запросы. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Copilot для безопасности создает ответы для каждого запроса и выполняет сборку на основе каждого запроса, пока не перейдет к последнему запросу.
  6. Прочитайте ответ Copilot for Security. При последнем запросе Copilot for Security создается легко читаемый отчет, содержащий соответствующие сведения об обнаруженном субъекте угрозы. Проверьте и убедитесь, что ответы являются точными и соответствуют ли вашим потребностям.

Анализ подозрительных скриптов

Модуль командной строки для анализа подозрительных скриптов полезен при изучении сценария командной строки PowerShell или Windows. Например, если сценарий PowerShell участвовал в критическом инциденте в сети, можно скопировать текст скрипта и запустить модуль promptbook, чтобы узнать больше о нем.

Чтобы запустить модуль командной строки: 1.Нажмите кнопку Запросы на панели запросов и начните вводить "анализ подозрительных скриптов", пока в списке не появятся книги подсказок.

  1. Выберите Анализ подозрительных скриптов.

  2. Вставьте строку скрипта, которую требуется проанализировать, в поле ввода с надписью Скрипт для анализа. Снимок экрана: анализ подозрительных скриптов в promptbook.

  3. Затем выберите Выполнить в левом верхнем углу диалогового окна.

  4. Дождитесь, пока Copilot for Security запустит содержимое скрипта с помощью различных запросов. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Copilot for Security создает ответы для каждого запроса, основываясь на каждом ответе, пока не дойдет до последнего запроса.

  5. Прочитайте ответы Copilot for Security. Последний запрос От Copilot for Security создает полный отчет о действиях скрипта, любых связанных действиях с угрозами и рекомендуемых дальнейших шагах на основе оценки намерения файла. Проверьте и убедитесь, что ответы являются точными и соответствуют ли вашим потребностям.

Оценка влияния уязвимостей

В справочнике по оценке влияния уязвимостей принимается номер CVE или известное имя уязвимости, чтобы узнать, была ли уязвимость публично раскрыта или использована ли она субъектами угроз в своих кампаниях. Затем он может предоставить рекомендации по устранению или устранению угрозы и свести эти результаты в сводку.

Чтобы запустить этот модуль командной строки, выполните приведенные ниже действия.

  1. Нажмите кнопку Запросы на панели запросов и начинайте вводить "оценка влияния на уязвимость", пока в списке не появятся книги подсказок.
  2. Выберите Оценка влияния уязвимостей.
  3. Введите номер CVE или общее имя уязвимости, о котором вы хотите узнать, в поле ввода с указанием CVEID. Снимок экрана: справочник по оценке влияния уязвимостей.
  4. Затем нажмите кнопку Выполнить в левом верхнем углу диалогового окна.
  5. Дождитесь, пока Copilot for Security запустит имя уязвимости или CVE через различные запросы. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Security Copilot создает ответы для каждого запроса и выполняет сборку по каждому запросу, пока не перейдет к последнему запросу.
  6. Прочитайте ответ от Copilot for Security. Последний запрос создает легко читаемый отчет об уязвимости. Отчет содержит сведения об известных действиях по эксплуатации, включая предложения по устранению рисков. Проверьте и убедитесь, что ответы являются точными и соответствуют ли вашим потребностям.

Анализ пользователей Майкрософт

Сборник запросов анализа пользователей (Майкрософт) может использоваться ИТ-Администратор для анализа и получения подробных сведений о пользователе и связанных устройствах в нескольких продуктах Microsoft 365. Сюда входят данные о входе и проверке подлинности из Microsoft Entra ID, сведения об устройстве из Intune, сведения о необычных действиях из Microsoft Purview и сводка Microsoft Defender с описанием важных обнаружений.

Чтобы получить исчерпывающий ответ из этой книги подсказок, сначала необходимо активировать или убедиться, что у вас есть следующие роли:

  • Роль глобального читателя для Microsoft Entra ID
  • Роль читателя безопасности для Entra ID, Intune и Defender
  • Роль следователя по управлению внутренними рисками или аналитика для Microsoft Purview

Чтобы запустить этот модуль командной строки, выполните приведенные ниже действия.

  1. Перейдите в библиотеку Promptbook и найдите сборник подсказок Анализа пользователей (Майкрософт ).
  2. Выберите Начать новый сеанс. Снимок экрана: модуль командной строки анализа пользователей (Майкрософт).
  3. Вам потребуются следующие входные данные:
    • имя участника-пользователя или имя участника-пользователя
    • диапазон времени, который требуется для поиска информации в Copilot for Security.
  4. Затем нажмите кнопку Отправить в правом верхнем углу диалогового окна.
  5. Дождитесь, пока Copilot for Security запустит входные данные через различные запросы. Если вместо ответа отображается индикатор хода выполнения раунда, сборник подсказок по-прежнему выполняется. Copilot для безопасности создает ответы для каждого запроса и выполняет сборку на основе каждого запроса, пока не перейдет к последнему запросу.
  6. Прочитайте ответ от Copilot for Security. Используя ответ из запросов, вы можете быстрее определить, выполнял ли исследуемый пользователь подозрительные действия, чтобы сосредоточиться на дальнейших шагах по защите системы.

Просмотр библиотеки promptbook

В библиотеке promptbook отображаются как готовые, так и пользовательские модули командной строки в вашей организации. Просмотрите книги подсказок, перейдя в меню Copilot for Security и выбрав библиотеку Promptbook.

Снимок экрана: библиотека в меню.

На домашней странице также можно выбрать Просмотреть библиотеку promptbook .

Снимок экрана: библиотека на домашней странице.

В библиотеке promptbook отображаются все доступные вам модули командной строки. Книги подсказок перечислены по имени, и вы можете просмотреть описание, владельца, количество запросов, необходимые подключаемые модули, входные данные и теги, если таковые имеются.

Снимок экрана: библиотека.

Щелкните значок лупы в библиотеке Promptbook в левой верхней области страницы. Введите первые несколько букв заголовка книги подсказок и дождитесь загрузки результатов.

Вы также можете фильтровать по тегам.

См. также