AI プロンプトの作成方法
AI 機能を使用する場合は、自然言語の質問またはコマンドを使用して情報を要求します。これらをプロンプトと呼びます。
プロンプトを書く方法は、AI の応答への関連性に影響します。このページでは、最良の結果を得るためのプロンプトの書き方を説明します。
適切なプロンプトの必要事項
適切なプロンプトに必要な内容は以下のようになります。
明確さと焦点
- 必要なものを正確に指定します。名前、ID、またはタイムスタンプがわかっている場合は含めます。
- 「脅威に関するすべてを教えてください」などのあいまいなフレーズは避けてください。
コンテキスト
- 検出の調査など、現在の目標に質問を結び付けます。
- IP アドレス、ファイルハッシュ、ケース ID などの関連データについて言及します。
アクション指向の言葉を使う
分析、要約、比較、生成などの動詞を使用してプロンプトを開始します。
例
"過去24時間の疑わしいアクティビティのエグゼクティブサマリーを生成します。"
適切な範囲
必要に応じて、時間範囲、データソース、またはエンドポイントセットの範囲を狭めたり、広げたりします。クエリの範囲が広すぎると、限定された関連性の非常に多くのデータが収集されてしまいます。
例
"過去 3日間のサブ管理サイト x のエンドポイントで重要度が高い検出または重要度が緊急の検出をリストします。"
形式の指定
箇条書き、簡単な要約、手順の説明など、必要な形式を明確に述べてください。
例
各検出を箇条書きにして、脅威の重要度と推奨される対処方法を示します。
効果的なプロンプトのヒント
これらのヒントを使用して、プロンプトの詳細とコンテキストを表示します。
特定の期間の指定
期間によって出力量が制限され、管理しやすくなります。
例
"過去24時間"、"6月 1日から 6月 3日まで"、または "過去 10日間"。
既知の識別子を使用
ホスト名、IP アドレス、ユーザーアカウント、プロセス名、または検出参照を含めます。
例
"ID ENDPOINT-01
でエンドポイントの疑わしいプロセスを分析します。 "
必要な出力形式を指定
応答内容が即座に使用できる形式になるように、形式を指定して含めます。
例
- "調査のタイムラインを作成します"
- "箇条書きにして最終的なサマリーを作成します"
フォローアップのプロンプトの使用
最初の応答に詳細がない場合は、より具体的なプロンプトでフォローアップします。
例
- "ファイルハッシュまたはネットワークインジケータを展開します。"
- "プロセス系統を階層形式で表示します。"
コンテキストとして前の説明を参照
チャットで前述したポイントに戻ることができます。
例
"このスレッドの前の段階の系統データを使用して、悪意のある可能性のあるすべての URL をリストします。"
プロンプトの絞り込み
以下は、単純なプロンプトをより堅牢でコンテキストが明確なクエリに変更する方法を示す例です。
例: 疑わしいプロセスの調査
悪意のあるプロセスを検索します。
このプロンプトが弱い理由は次のとおりです。
- 範囲が広すぎます。AI アシスタントは、どの期間、どのデバイス、または「悪意がある」と解釈できません。
過去 24時間にデバイス ENDPOINT-01
で実行されているすべてのプロセスを分析し、悪意のあるプロセスとしてフラグが付けられているプロセスを特定します。プロセス ID、コマンドライン、ハッシュを含めます。
このプロンプトが強い理由は次のとおりです。
- 特定のデバイスに焦点を当てます。
- 24時間と期間を指定しています。
- 悪意のある状態、プロセス ID、コマンドライン、ファイルハッシュなどの特定の詳細を要求しています。
例: ケースサマリーの生成
このケースを要約します。
このプロンプトが弱い理由は次のとおりです。
- ケース ID、フォーカスエリア、または目的の詳細は指定されていません。
検出、根本原因、影響を受けるエンドポイント、推奨される修復手順を網羅した、このケースの業務に焦点を当てたサマリーを生成します。結果を箇条書きで示します。
このプロンプトが強い理由は次のとおりです。
- 検出、根本原因、影響を受けるエンドポイントの内容を明確にしています。
- テクニカルではなく、業務に焦点を当てた特定の種類のサマリーをリクエストしています。
- 箇条書きの特定の形式を要求しています。
高度なプロンプト手法
次のような高度な手法を試して、結果の内容を向上させてください。
チェーンプロンプト
最初に広範な質問をしてから、フォローアップの質問で範囲を絞り込みます。
例
- 最初のプロンプト: "どのような疑わしいプロセスが見つかりましたか?"
- 2番目のプロンプト:"外部 IP アドレスに接続するネットワークアクティビティがあったプロセスはどれですか?"
複数のデータポイント
既存のデータポイントを 1つのプロンプトで結合します。
例
"これらのファイルハッシュ [abc123…
, xyz789…
] のレピュテーションを確認し、過去 48時間に検出されたエンドポイント ENDPOINT-01
上の悪意のあるネットワークアクティビティと関連付けます。"
出力の長さまたは詳細レベルを指定
プロンプトからの出力に制限を設定します。
例
- "回答は箇条書きの項目を 5つに制限してください。"
- "最後の解析を短い段落として出力します。"