在 Microsoft Security Copilot 中使用提示書
Security Copilot 隨附預先建置的提示書,這是一系列的提示,已整合在一起以完成特定的安全性相關工作。 它們的運作方式與安全性劇本類似,例如,可做為範本的現成使用工作流程,以自動化重複步驟,例如事件回應或調查。 每個預先建置的提示書都需要特定的輸入 (例如代碼段或威脅執行者名稱) 。
您可以移至 promptbook 連結庫,或選取 提示 圖示螢幕
,在提示列中找到不同的提示簿。 然後,您可以搜尋提示書,或選取 [查看所有提示], 以檢視所有提示。
可用的提示書包括:
觀看下列影片以深入瞭解提示書:
檢查外部威脅的影響文章
使用此提示書,您可以分析任何外部威脅情報文章,從中擷取指標,並收集任何相關的 Microsoft Defender 威脅情報 文章。
若要執行此提示書:
遵循在 Defender TI 中啟用 Security Copilot 整合中的步驟,確定您已開啟 Microsoft Threat Intelligence 外掛程式。
在 Security Copilot 中,選取提示列中的 [提示] 按鈕,然後開始輸入名為 [檢查外部威脅的影響] 文章的提示書幾個字母,直到提示書出現在清單中為止。
提供您想要分析和擷取指標之外部威脅情報文章的URL。
接下來,選取 [ 提交]。
等候 Security Copilot 透過不同的提示執行 URL。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Security Copilot 會針對每個提示產生回應,並在每個回應上建置,直到到達最後一個提示為止。
Security Copilot 讀取回應。 您可以使用產生的 KQL 查詢來協助調查。
事件調查
您可以在將事件編號提供給 Microsoft Sentinel 或 Microsoft Defender 全面偵測回應 外掛程式之後,執行事件調查提示簿。 針對您想要使用的外掛程式使用適當的提示簿。 事件調查提示書包含數個提示,可為摘要調查之非技術對象產生執行報告。 每個提示都是以上一個提示為基礎。
若要執行 Microsoft Sentinel 事件調查提示字元:
選取提示列中的 [提示] 按鈕,然後開始輸入「事件調查」,直到提示書出現在清單中為止。
選 Microsoft Sentinel 事件調查。 (若要改用 Microsoft Defender 全面偵測回應 外掛程式,請選取 [Microsoft Defender 全面偵測回應 事件調查]。)
在顯示事件識別碼 Sentinel 輸入方塊中,提供您想要調查的事件編號。
接下來,選取對話框左上角的 [ 提交 ]。
等候 Security Copilot 透過不同的提示執行事件編號。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Security Copilot 會針對每個提示產生回應,並在每個回應上建置,直到到達最後一個提示為止。
Security Copilot 讀取回應。 Security Copilot 的最後一個提示會產生一份執行報告,以根據回應來摘要調查。 檢閱並驗證回應是否正確且符合您的需求。
Microsoft使用者分析
IT 管理員 可以使用Microsoft使用者分析提示書,來分析及取得多個Microsoft 365產品中使用者和相關聯裝置的詳細見解。 這包括來自 Microsoft Entra ID 的登入和驗證數據、來自 Intune 的裝置資訊、Microsoft Purview 的異常活動詳細數據,以及醒目提示重要偵測的 Microsoft Defender 摘要。
若要從此提示簿取得完整的回應,您必須先啟用或確定您具有下列角色:
- Microsoft Entra ID、Intune和 Defender 的安全性讀取者角色
- Microsoft Purview 的測試人員風險管理分析師或分析師角色
若要執行此提示書:
移至 Promptbook 連結庫,並尋找 Microsoft使用者分析 提示字元。
選 取 [開始新的會話]。
您需要下列輸入:
- 用戶的用戶主體名稱或UPN
- 您想要 Security Copilot 查閱信息的時間範圍。
接下來,選取對話框右上角的 [ 提交 ] 按鈕。
等候 Security Copilot 透過不同的提示執行您的輸入。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Security Copilot 會針對每個提示產生回應,並在每個提示上建置,直到到達最後一個提示為止。
從 Security Copilot 讀取回應。 使用提示的回應,您可以更快速地推斷正在調查的使用者是否已執行可疑的活動,以便您專注於保護系統時的後續步驟。
可疑的腳本分析
當您調查 PowerShell 或 Windows 命令行腳本時,可疑的腳本分析提示字元書很有用。 例如,如果 PowerShell 腳本牽涉到您網路中的重大事件,您可以複製腳本的本文並執行提示書以深入瞭解。
若要執行提示簿:1.選取提示列中的 [提示] 按鈕,然後開始輸入「可疑的腳本分析」,直到提示書出現在清單中為止。
選取 [可疑的腳本分析]。
在輸入方塊中貼上您要分析的腳本字串,指出 要分析的腳本。
接下來,選取對話框左上角的 [ 提交 ]。
等候 Security Copilot 透過不同的提示執行腳本內容。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Security Copilot 會針對每個提示產生回應,並在每個回應上建置,直到到達最後一個提示為止。
Security Copilot 讀取回應。 Security Copilot 的最後一個提示會根據檔案意圖的評估,產生腳本用途、任何相關威脅活動,以及建議的後續步驟的完整報告。 檢閱並驗證回應是否正確且符合您的需求。
威脅動作專案配置檔
威脅動作專案配置檔提示書是快速取得特定威脅執行者相關執行摘要的方法。 此提示書會尋找有關動作專案的任何現有威脅情報文章,包括已知的工具、策略和程式 (TTP) 和指標,包括補救建議。 然後,它會將結果摘要到較不具有技術性讀取器的報表中。
若要執行威脅動作項目設定檔提示簿:
選取提示列中的 [提示] 按鈕,然後開始輸入「威脅執行者配置檔」,直到提示書出現在清單中為止。
選取 [威脅動作專案配置檔]。
在顯示威脅動作專案名稱的輸入方塊中,輸入 威脅執行者的名稱。
接下來,選取對話框左上角的 [ 提交 ] 按鈕。
等候安全性 Copilot 透過不同的提示執行威脅動作項目名稱。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Security Copilot 會針對每個提示產生回應,並在每個提示上建置,直到到達最後一個提示為止。
Security Copilot 讀取回應。 Security Copilot 的最後一個提示會產生容易讀取的報告,其中包含已識別威脅執行者的相關信息。 檢閱並驗證回應是否正確且符合您的需求。
以 MDTI 為基礎的威脅情報 360 報告文章
藉由使用此提示書,您可以取得有關指定 Microsoft Defender 威脅情報 文章中所討論威脅是否會影響組織的詳細報告。 包括相關的指標和搜捕查詢。
若要執行此提示書:
遵循在 Defender TI 中啟用 Security Copilot 整合中的步驟,確定您已開啟 Microsoft Threat Intelligence 外掛程式。
在 Security Copilot 中,選取提示列中的 [提示] 按鈕,然後開始輸入提示簿名稱,直到提示簿出現在清單中為止。
根據 MDTI 文章,選取名為 Threat Intelligence 360 報告的提示書。
在顯示 MDTI 發行項名稱的輸入方塊中,輸入 Defender 威脅情報文章的名稱。
接下來,選取對話框左上角的 [ 提交 ] 按鈕。
等候 Security Copilot 透過不同的提示執行文章。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Security Copilot 會針對每個提示產生回應,並在每個提示上建置,直到到達最後一個提示為止。
Security Copilot 讀取回應。
弱點影響評估
弱點影響評估提示簿會接受 CVE 編號或已知的弱點名稱,以瞭解弱點是否已公開揭露或惡意探索,以及威脅執行者是否已在其活動中使用該弱點。 然後,它可以提供解決或降低威脅的建議,並在執行摘要中摘要說明這些結果。
若要執行此提示書:
選取提示列中的 [提示] 按鈕,然後開始輸入「弱點影響評估」,直到提示書出現在清單中為止。
選取 [弱點影響評估]。
在輸入方塊中輸入 CVEID,輸入您想要瞭解的 CVE 編號或常見弱點名稱。
接下來,選取對話框左上角的 [ 提交 ] 按鈕。
等候 Security Copilot 透過不同的提示執行弱點名稱或 CVE。 如果您看到圓形進度指示器取代回應,則提示書仍在執行中。 Security Copilot 會針對每個提示產生回應,並在每個提示上建置,直到到達最後一個提示為止。
從 Security Copilot 讀取回應。 最後一個提示會產生易於閱讀的弱點報告。 此報告包含已知惡意探索活動的詳細數據,包括風險降低建議。 檢閱並驗證回應是否正確且符合您的需求。
