介绍有效提示的元素

在上一单元中，我们将提示定义为你在提示栏中提供的基于文本的自然语言输入，用于指示 Microsoft Security Copilot 生成响应。 Copilot 提供提示手册和提示建议，这非常有用，尤其是在刚刚开始调查事件时。 但是，在某些时候，你想要且需要输入自己的提示。 在这些情况下，Copilot 返回的响应质量在很大程度上取决于所使用的提示质量。 一般情况下，具有清晰和具体输入内容的精心设计的提示会使 Copilot 做出更有用的响应。

有效提示的元素

有效的提示使 Copilot 有足够的有用参数来生成有价值的响应。 编写提示时，安全分析师或研究人员应添加以下元素。

• 目标 - 你需要的特定的安全信息
• 上下文 - 为什么需要此信息或你将如何使用此信息
• 期望 - 希望用于自定义响应的格式或目标受众
• 源 - 已知信息、数据源或插件 Copilot 应使用

每个好的提示都应该有一个目标。 无论是以说明还是问题的形式出现，它都应指示你想从当前会话中获取的内容。

对于 Copilot，上下文可以引用时间范围，或者表示你将在报告中使用响应。 期望值可以包括你希望响应采用表格格式、操作步骤列表、摘要，甚至是关系图形式。 如果需要，源在指定引用的 Microsoft 插件时可能很有用。 某些插件需要更多上下文才能有效工作或支持插件，以确保在初始响应失败时做出响应。

观看此简短视频，获取有关如何创建有效提示的摘要。

其他提示技巧

出现自己的提示时要记住的一些事项：

• 尽可能具体、清晰、简洁地了解要实现的目标。 通常可以从第一个提示开始，但当你更熟悉 Copilot 后，请在有效提示的元素之后添加更多详细信息。

  • 基本提示：演员 Pearl Sleet
  • 更好的提示：你能提供有关 Pearl Sleet 活动的信息吗？包括一系列已知的妥协以及工具、策略和程序 (TTP) 指标？

• 循环访问。 通常需要后续提示来进一步阐明所需内容，或尝试其他版本的提示，以更接近要查找的内容。 与所有基于 LLM 的系统一样，Copilot 可以通过略有不同的方式响应相同的提示。

• 提供必要的上下文以缩小 Copilot 查找数据的位置范围。

  • 基本提示：汇总事件 15134。
  • 更好的提示：将 Microsoft Defender XDR 中的事件 15134 汇总为可以提交给经理的段，并创建涉及的实体列表。

• 给出肯定的指示，而不是“不做什么”。Copilot 旨在采取行动，因此，告诉它你想针对异常执行的操作会更高效。

  • 基本提示：为我提供网络中非托管设备的列表。
  • 更好的提示：为我提供网络中高风险的非托管设备的列表。 如果它们名为“test”，请将它们从列表中移除。

• 直接将 Copilot 称为“你”，例如，“你应该...”或“你必须...”，因为这比将其称为模型或助手更有效。

虽然这些指南可以帮助你开始创建提示，但请务必注意，提示的格式不限于前文示例的结构。 Copilot 的一大优势是它旨在回答用你自己的话（即使用自然语言）提出的问题或说明。

你可以灵活地根据具体需求调整这些准则。