介绍有效提示的元素

在上一单元中，我们将“提示”定义为你在提示栏中提供的文本化自然语言输入，它指示 智能 Microsoft Security Copilot 副驾驶® 生成一个响应。 Copilot 提供提示手册和提示建议，这非常有用，尤其是在刚刚开始调查事件时。 但是，在某些时候，你想要且需要输入自己的提示。 在这些情况下，Copilot 返回的响应质量在很大程度上取决于所使用的提示质量。 一般情况下，具有清晰和具体输入内容的精心设计的提示会使 Copilot 做出更有用的响应。

有效提示的元素

有效的提示使 Copilot 有足够的有用参数来生成有价值的响应。 编写提示时，安全分析师或研究人员应添加以下元素。

• 目标 - 你需要的特定的安全信息
• 上下文 - 为什么需要此信息或使用它的方式
• 期望 - 希望用于自定义响应的格式或目标受众
• 来源 - 已知信息、数据源或插件，Copilot 应使用

每个好的提示都应该有一个目标。 无论是以说明还是问题的形式出现，它都应指示你想从当前会话中获取的内容。

对于Copilot，上下文可以指时间范围，或者将响应用于报告。 期望值可以包括你希望响应采用表格格式、操作步骤列表、摘要，甚至是关系图形式。 指定某个 Microsoft 插件时，如果需要，源文件可能会很有用。 某些插件需要更多的上下文或一些支持插件才能有效工作，以确保在初始响应失败时能够做出成功响应。

观看此简短视频，获取有关如何创建有效提示的摘要。

其他提示技巧

提出自创提示时需要记住的一些事项：

• 尽可能具体、清晰、简洁地表达您想要实现的目标。 通常可以从第一个提示开始，但当你更熟悉 Copilot 后，请在有效提示的元素之后添加更多详细信息。

  • 基本提示：演员 Pearl Sleet
  • 更好的提示：你能提供有关 Pearl Sleet 活动的信息，包括已知的妥协指标以及工具、战术、技术和程序 (TTP) 吗？

• 迭代。 通常需要后续提示来进一步阐明所需内容，或尝试其他版本的提示，以更接近要查找的内容。 与所有基于 LLM 的系统一样，Copilot 可以通过略有不同的方式响应相同的提示。

• 提供必要的上下文以缩小 Copilot 查找数据的位置范围。

  • 基本提示：总结事件 15134。
  • 更好的提示：将 Microsoft Defender XDR 中的事件 15134 汇总为可以提交给经理的段，并创建涉及的实体列表。

• 给出肯定的指导，而不是告诉它“不该做什么”。Copilot 旨在采取行动，因此，告诉它在异常情况下你希望执行的操作会更高效。

  • 基本提示：为我提供网络中非托管设备的列表。
  • 更好的提示：为我提供网络中高风险的非托管设备的列表。 如果它们名为“test”，请将它们从列表中移除。

• 直接称呼Copilot为“你”，如“你应该...”或“你必须...”，因为这样比称它为模型或助手更有效。

虽然这些指南可以帮助你开始创建提示，但请务必注意，提示的格式不限于前文示例的结构。 Copilot 的一大优势是它旨在回答用你自己的话（即使用自然语言）提出的问题或说明。

你可以灵活地根据具体需求调整这些准则。