コンテンツにスキップ

プロンプト作成のベストプラクティス 🔗

AI機能を利用する際は、自然言語による質問やコマンドで情報をリクエストします。これらを「プロンプト」と呼びます。

プロンプトの書き方によって、AIの応答の関連性が変わります。このページでは、最良の結果を得るためのプロンプトの書き方を説明します。

良いプロンプトの基本🔗

良いプロンプトの必須要素は以下の通りです。

明確さと焦点🔗

  • 何を求めているかを正確に指定してください。名前、ID、タイムスタンプなどが分かっていれば含めてください。
  • 「脅威についてすべて教えて」などの曖昧な表現は避けてください。

コンテキスト🔗

  • 質問を現在の目的(例:検出の調査)に結び付けてください。
  • IPアドレス、ファイルハッシュ、ケースIDなどの関連データを記載してください。

アクション指向の言葉🔗

プロンプトは「分析する」「要約する」「比較する」「生成する」などの動詞で始めてください。

「過去24時間の不審なアクティビティについて、エグゼクティブサマリーを生成してください。」

適切な範囲指定🔗

必要に応じて、時間範囲、データソース、エンドポイントのセットを絞り込んだり広げたりしてください。範囲が広すぎると、関連性の低い大量のデータが出力される場合があります。

「過去3日間にサブエステートxのエンドポイントで重大度が高または重大な検出を一覧表示してください。」

フォーマットの指定🔗

箇条書き、短い要約、手順など、希望するフォーマットを明確に伝えてください。

「各検出を脅威の重大度と推奨アクション付きで箇条書きにしてください。」

効果的なプロンプトのヒント🔗

プロンプトにさらに詳細やコンテキストを加えるためのヒントです。

具体的な期間を指定する🔗

期間を指定することで、出力量を制限し、扱いやすくなります。

「過去24時間」「6月1日から6月3日まで」「過去10日間」など。

既知の識別子を使う🔗

ホスト名、IPアドレス、ユーザーアカウント、プロセス名、検出リファレンスなどを含めてください。

「IDが ENDPOINT-01 のエンドポイントで不審なプロセスを分析してください。」

望む出力を指定する🔗

希望するフォーマットを含めることで、すぐに使える形で応答が得られます。

  • 「調査タイムラインを作成してください。」
  • 「最終要約を箇条書きで生成してください。」

フォローアッププロンプトを使う🔗

最初の応答に詳細が足りない場合は、より具体的なプロンプトでフォローアップしてください。

  • 「ファイルハッシュやネットワークインジケーターについて詳しく説明してください。」
  • 「プロセスの系統を階層形式で表示してください。」

以前のやり取りを参照してコンテキストを与える🔗

チャット内で以前に議論したポイントを参照できます。

「このスレッドの前半でのトリアージデータを使って、潜在的に不正なURLをすべてリストアップしてください。」

プロンプトの洗練🔗

以下は、シンプルなプロンプトをより強力でコンテキスト豊かなクエリに変える例です。

例:不審なプロセスの調査🔗

"不正なプロセスを見つけてください。"

このプロンプトが弱い理由:

  • 範囲が広すぎます。AIアシスタントは、どの期間、どのデバイス、また「不正」の解釈方法が分かりません。

"デバイス ENDPOINT-01 で過去24時間に実行されたすべてのプロセスを分析し、不正と判定されたプロセスを特定してください。プロセスID、コマンドライン、ハッシュも含めてください。

このプロンプトが強い理由:

  • 特定のデバイスに焦点を当てている。
  • 24時間という期間を指定している。
  • 不正ステータス、プロセスID、コマンドライン、ファイルハッシュなど、具体的な詳細をリクエストしている。

例:ケースの概要を生成🔗

"このケースを要約してください。"

このプロンプトが弱い理由:

  • ケースID、注目点、必要な詳細が指定されていません。

"このケースについて、検出、根本原因、影響を受けたエンドポイント、推奨される修復手順を含むビジネス向けの要約を生成してください。発見事項は箇条書きで提示してください。

このプロンプトが強い理由:

  • 内容(検出、根本原因、影響を受けたエンドポイント)を明確にしている。
  • 要約の種類(ビジネス向け、技術的でない)を指定している。
  • フォーマット(箇条書き)を指定している。

高度なプロンプト技法🔗

さらに良い結果を得るために、以下の高度な技法を試してください。

プロンプトの連鎖🔗

まず広い質問をし、その後フォローアップで範囲を絞り込んでください。

  • 最初のプロンプト:「どんな不審なプロセスが見つかりましたか?」
  • 2つ目のプロンプト:「その中で外部IPアドレスに接続したプロセスはどれですか?」

複数のデータポイントを組み合わせる🔗

既知のデータポイントを1つのプロンプトにまとめてください。

「これらのファイルハッシュ [abc123…, xyz789…] のレピュテーションを確認し、過去48時間にエンドポイント ENDPOINT-01 で検出された不正なネットワークアクティビティと相関してください。」

出力の長さや詳細レベルを指定する🔗

プロンプトで出力の制限を設定してください。

  • 「応答は5つの箇条書きに制限してください。」
  • 「最終分析を短い段落で出力してください。」