Copilot for Securityで日本語のプロンプトブックを

はじめに

Copilot for Securityのスタンドアロン版について、既定で用意されるプロンプトブックでは、「回答が英語で返って」きます（2024年4月30日時点）。
何回かお試しで使っているうちに、プロンプトを英語で聞いているから英語で返るのか、というごく当たり前のことに気付きました。
そこで既定のプロンプトブックのいくつかを複製して、編集した日本語文を作成しました。今後も随時、追加、修正等を行いたいと考えます。

Microsoft 365 Defender インシデント調査

Microsoft 365 Defender incident investigation

関連するアラート、評判スコア、ユーザー、デバイスの情報より、特定のインシデントに関するレポートを作成してください。

Get a report about a specific incident, with related alerts, reputation scores, users, and devices.

1. Defender incident <DEFENDER_INCIDENT_ID> を要約してください。以下、最後まで日本語で回答をお願いします。

Summarize Defender incident .

2. そのインシデントに関連するエンティティについて教えてください。

Tell me about the entities associated with that incident.

3. そのインシデントに関連るIPv4アドレスの評価スコアはどれぐらいですか？

What are the reputation scores for the IPv4 addresses on that incident?

4. そのインシデントに関連したユーザーの認証方法を見せてください。特に、MFAが有効になっているかを示してください。もし、携帯番号があった場合、080xxx のようにマスクしてもられますか。

Show the authentication methods setup for each user involved in that incident. Especially indicate whether they have MFA enabled.

5. インシデントの詳細情報にユーザー一覧が含まれている場合は、そのユーザーによって最近使用されたデバイス一覧と、それらのデバイスがポリシーに準拠しているかどうかを示してください。

If a user is listed in the incident details, show which devices they have used recently and indicate whether they are compliant with policies.

6. 前の出力にデバイスの一覧が含まれていた場合は、最後にチェックインされたデバイスに関して、Intuneから取得した詳細情報を示してください。


特にすべてのオペレーティングシステムが最新かどうかを示してください。

If any devices are listed in the previous output, show details from Intune on the one that checked in most recently. Especially indicate if it is current on all operating system updates.

7. 技術的な知識がない相手にも伝わりやすい形で、この調査のエグゼクティブレポートを作成してください。

Write an executive report summarizing this investigation. It should be suited for a non-technical audience.

疑わしいスクリプト分析

Suspicious script analysis

疑わしいスクリプトについて、意図、インテリジェンス、脅威アクター、影響を分析してレポートを作成してください。

Get a report analyzing the intent, intelligence, threat actors, and impacts of a suspicious script.

1. 次のスクリプトは、潜在的なセキュリティインシデントの要求として検出されました。このスクリプトの動作をステップバイステップで説明し、実行内容の意図を推測してください。また、本質的に悪質な可能性があることが示される場合（破壊的活動、情報搾取、機密性が高い設定項目の変更）も指摘してください。： <SNIPPET>

The following script was found as part of a potential security incident. Explain what this script does step by step and infer the intent. Also note any actions expressed that could be malicious in nature, including destructive activities, stealing of information, or changing of sensitive settings: <SNIPPET>

2. 見つかったIPまたはホスト名があれば、それらの評価を教えてください。

Provide the reputation of any IPs or hostnames found.

3. このスクリプトに関連する脅威インテリジェンスをリストアップし、発見されたインジケーターに関連付けてください。簡潔な要約を提供し、ソース資料へのリンクを含めてください。

List any threat intelligence correlated to indicators found within this script. Provide a brief summary and include links to source material.

4. スクリプトから検出クエリに使用できるすべてのインジケーターを抽出してください。

Extract all indicators from the script that could be used within a detection query.

5. このスクリプトの実行をベースに、もし企業の本番環境で実行された場合、どのように対処したらよいか具体的な推奨事項を提示してください。

Based on the actions of this script, provide specific recommendations for how to respond to this script if it were executed in a corporate production environment.

6. この分析から得られた結果をエグゼクティブレポートにまとめてください。まずスクリプトの評価から始め、評価の信頼度と評価の根拠となる証拠を含めてください。その後、「スクリプト概要」、「脅威インテリジェンス」、「対応案」の各段落セクションを追加します。内容は技術的な知識がない読み手にも理解しやすい形で記述してください。

Summarize the findings from this analysis into an executive report. Begin with an assessment of the script. Include confidence and supporting evidence for the assessment. Below that, generate paragraph sections for a "Script Overview", "Threat Intelligence", and "Response Suggestions". It should be suitable for a less technical audience.

Emailヘッダー分析

Email Header analysis

参照

怪しいメールを調査するために、メールヘッダーを調べ、関連するエンティティを抽出し、メールの要約を行います。

Investigate a suspicious email by examining the headers , filtering out the entities and concluding with a summary of the email

1. メールのトリアージ
   Triage the email

   • 以下のメールヘッダーを確認して、怪しいと感じた点を指摘してください。
     <emailheaders>
   • Can you triage the email header below and point out what you find suspicious? <emailheaders>

2. メールヘッダーにおける技術的なインジゲーターの特定
   Idenitfy technical indicators in the email header

   • 前のプロンプトについて、調査プロセスで使用できる技術的なインジゲーターを全てリストアップしてください。
   • Can you list all the Technical indicators in the above prompt that we can use for an investigation process

3. メールに関連するドメインとそれに関連する脅威インテリジェンスの特定
   Identify domains associated with the email and Threat intelligence associated with it

   • リスト内のすべてのドメインの評価を返してください。
   • Return the reputation for all the domains in the list

4. メールに関連するIPとそれに関連する脅威インテリジェンスの特定
   Identify IPs associated with the email and Threat intelligence associated with it

   • リスト内のすべてのIPアドレスの評価を返してください。
   • Return the reputation for all the IP addresses in the list

5. 脅威分析レポートに関連するエンティティの特定
   Identify if the entites associated are seen on Threat articles

   • 上記リストに含まれるドメインまたはIPに関連する脅威分析レポートがあるかどうかを確認してください。
   • Can you check if there any threat articles associated with any of the Domains or IPS from the list above

6. 脅威分析レポート上で見られる送信者およびリターンパスエンティティの特定
   Identify if the entites sender and return path associated are seen on Threat articles

   • メールの送信者およびリターンパスが脅威分析レポートに関連しているかどうかを確認してください。
   • What about the sender and return path emails are they associated with any intelligence articles

7. Defender Huntingを使用した組織内で他にメールを受信した人を確認
   Check if anyone else had received the email in the organization by using Defender hunting

   • /LookupDataFromDefender365Huntingを使用し、メールタイトルに基づいてこのメールが他のユーザーにも送信されたかどうかを確認してください。
   • `/LookupDataFromDefender365Hunting Based on the email title check if this email sent to other users?

8. Defender Huntingを使用した組織内でメールに関連するURLをクリックした人を確認
   Check if anyone in the organization clickded on any Urls associated with the email y using defender hunting

   • 組織内でメール内のURLをクリックしたユーザーがいるかどうかを確認してください。
   • Hunt my environment and determine if any of the users clicked any URL in the email above

9. 疑わしい要素について確実性を持った調査のまとめ
   Summarize the investigation with certaity of suspicious elements

   • 上記のメール調査に基づき、今回の調査の手順をすべてまとめて報告してください。また、証拠を共有し、このメールがフィッシングメールかどうかを確信度とともに知らせてください。メールが疑わしくない場合は0-30％、中程度にフィッシングの疑いがある場合は30％-74％、高い確率でフィッシングの疑いがある場合は75％-100％の確信度を常に含めてください。
   • Based on the above email investigation, summarize this investigation with all the investigation steps taken during this session. Also share supported evidence and let me know if this is a phishing email with certainty percentage: if the email is not suspicious give it 0-30% if it medium suspicious for phishing give it 30%-74% and if its high suspicious as phishing give it 75%-100%. Always include suspicious certainty percentage.

おわりに

若干日本語でカスタイマイズしているところがあります。今後も応答してくれる内容をみて見直そうと考えています。皆様の適時編集のほどお願いします。