AI-промты для реагирования на киберинциденты
Задайте тип инцидента и фазу — получите готовый playbook для SOC
- Промты под все фазы PICERL и NIST SP 800-61
- Учёт IoC, EDR-телеметрии и логов AD
- Шаблоны отчётов для НКЦКИ и руководства
Конструктор промтов для incident response
Выберите тип инцидента, фазу реагирования и источник данных — соберите промт под ваш SOC
Ваш промт появится здесь
Выберите параметры слева — промт обновится автоматически
Реагирование на инцидент требует скорости: пока SOC-аналитик вручную собирает хронологию из SIEM-логов и EDR-телеметрии, атакующий закрепляется в инфраструктуре и расширяет присутствие. Готовые промты для ChatGPT и Claude ускоряют работу на всех фазах — от идентификации и сдерживания до устранения и восстановления, а также помогают описать инцидент по MITRE ATT&CK или NIST SP 800-61. Укажите роль аналитика, тип инцидента (ransomware-атака, фишинговая кампания, компрометация учётной записи) и источник данных — получите промт, который структурирует артефакты, предложит гипотезы и сформирует отчёт для стейкхолдеров. Бесплатный генератор снимает большую часть рутины: нейросеть собирает таймлайн, формулирует lessons learned и готовит коммуникацию по 152-ФЗ или GDPR, пока вы искореняете persistence-механизмы. Задайте контекст — и используйте готовый промт в ChatGPT, Claude или любом другом AI-сервисе.
Промты для реагирования на инцидент: гайд
Выберите роль и тип инцидента
Укажите Роль аналитика, Тип инцидента и Фазу реагирования — это задаст фокус промта под ваш кейс.
Настройте тон и формат вывода
Выберите деловой тон и формат 'плейбук по шагам' — удобно для быстрой эскалации SOC-команде.
Опишите инфраструктуру и IoC
Впишите Инфраструктуру и IoC и симптомы: хеши, C2 IP, процессы — так промт учтёт реальный контекст атаки.
Скопируйте промт и запустите
Скопируйте готовый промт и вставьте в ChatGPT или Claude — получите план реагирования за минуту.
Для кого промты по реагированию на инциденты
Генератор помогает SOC-аналитикам, IR-лидам, форензикам и CISO ускорять разбор инцидентов в ChatGPT и Claude
SOC-аналитик L1 на первой линии
За смену падает 200+ алертов SIEM, руками разбираю каждый по часу
Сортируйте алерты и готовьте триаж-отчёт по MITRE за 5 минут
Форензик по EDR и дампам памяти
На разбор одного дампа и PCAP уходит 2 дня ручного анализа
Извлекайте IOC из телеметрии и стройте таймлайн атаки за час
Incident Response Lead в ритейле
При ransomware нет времени писать план сдерживания с нуля
Собирайте playbook по NIST 800-61 и SANS PICERL под кейс за 10 минут
CISO крупного финтеха
Каждая утечка ПДн — 48 часов на отчёт регулятору и совету директоров
Готовьте коммуникацию по 152-ФЗ и GDPR для стейкхолдеров за сессию
Ещё промты для реагирования на инциденты
Промты дополняют генератор смежными задачами по IR. Скопируйте, замените данные в [скобках] и вставьте в ChatGPT, Claude, YandexGPT или GigaChat.
Аудит зрелости процессов реагирования на инциденты по NIST CSF
Аудит зрелостиРоль: Ты IR-консультант с 10+ лет опыта в построении SOC и оценке зрелости процессов реагирования. Экспертиза: NIST CSF 2.0, SIM3, CMMI для Cybersecurity, NIST SP 800-61r2. Контекст: Я [моя роль — CISO/Head of SOC] в [тип организации — финтех/промышленность]. Текущее состояние: [размер команды SOC], [стек инструментов — SIEM/EDR/SOAR], [количество инцидентов за квартал]. Данные для аудита: [метрики MTTD и MTTR], [покрытие MITRE ATT&CK], [наличие playbook-ов для типов инцидентов]. Задача: Провести аудит зрелости процессов IR и выдать дорожную карту улучшений на 12 месяцев с привязкой к NIST CSF функциям Detect, Respond, Recover. Формат вывода: (1) Таблица оценки по 5-балльной шкале для каждой подкатегории NIST CSF с обоснованием. (2) Топ-7 gap-ов с уровнем риска (High/Medium/Low) и ссылкой на конкретный контроль. (3) Roadmap по кварталам с KPI и оценкой ресурсов в человеко-часах. Детали: Опирайся на бенчмарки SANS IR Survey и Verizon DBIR. Избегай общих рекомендаций — каждая мера должна иметь измеримый критерий готовности и ответственную роль (L1/L2/IR Lead/CISO).
Разработка tabletop-сценария киберучений для топ-менеджмента
КиберученияРоль: Ты Lead IR Instructor с 8 лет опыта проведения tabletop exercises и red/blue team учений. Экспертиза: CISA Tabletop Exercise Packages, MITRE ATT&CK Navigator, methodology ENISA CSIRT. Контекст: Я [моя роль — IR Lead] в [тип организации — ритейл/банк]. Участники учения: [состав — CEO, CFO, юристы, PR, CISO]. Контур: [критичные активы — процессинг/e-commerce платформа], [регуляторы — 152-ФЗ/GDPR/PCI DSS], [предыдущий опыт учений — есть/нет]. Задача: Спроектировать 3-часовой tabletop-сценарий ransomware-атаки с эскалациями, injects и критериями оценки решений участников. Формат вывода: (1) Timeline сценария в таблице: T+0, T+30мин, T+1ч, T+2ч — событие, inject, ожидаемое решение. (2) Чек-лист решений для каждого участника (CEO/юрист/PR/CISO) с привязкой к 152-ФЗ и уведомлению РКН. (3) Rubric оценки по шкале 1–5 для коммуникации, техрешений и соблюдения регуляторики. Детали: Используй реалистичные TTPs групп типа LockBit или Conti по MITRE ATT&CK. Избегай технических деталей, непонятных нетехническим участникам — фокус на бизнес-решениях.
Шаблон пост-инцидентного отчёта для регулятора и правления
ОтчётностьРоль: Ты IR-документалист и GRC-специалист с 7 лет опыта подготовки отчётов для ЦБ РФ, РКН и советов директоров. Экспертиза: 152-ФЗ, 187-ФЗ о КИИ, GDPR Art. 33/34, NIST SP 800-61. Контекст: Я [моя роль — IR Lead/CISO] в [тип организации — оператор ПДн/субъект КИИ]. Инцидент: [тип — утечка ПДн/компрометация учётной записи], [дата обнаружения], [затронутые системы и объём данных]. Аудитория отчёта: [регулятор — РКН/ФСТЭК/ЦБ] и [внутренняя — правление/аудит]. Задача: Сгенерировать двухуровневый отчёт: формальный для регулятора (строго по форме) и executive summary для правления на 1 страницу. Формат вывода: (1) Executive summary: суть инцидента, бизнес-импакт в деньгах, статус, 3 ключевых решения правления. (2) Регуляторный раздел: хронология, категории ПДн, меры уведомления субъектов, меры по устранению. (3) Технический appendix: IoCs, TTPs по MITRE ATT&CK, lessons learned. Детали: Соблюдай сроки уведомления (24 ч GDPR, 24 ч РКН). Избегай юридически рискованных формулировок признания вины — используй фактологический стиль.
Программа обучения SOC-аналитика L1 с практикой на реальных TTPs
Обучение SOCРоль: Ты SOC Training Lead с 9 лет опыта подготовки аналитиков L1/L2 и построения программ обучения. Экспертиза: MITRE ATT&CK, Atomic Red Team, Sigma rules, TheHive, детекционный инжиниринг. Контекст: Я [моя роль — Head of SOC] в [тип организации — MSSP/enterprise]. Новый аналитик: [бэкграунд — выпускник/админ], [срок до продуктивности — 3 месяца]. Стек: [SIEM — Splunk/ELK], [EDR — CrowdStrike/Kaspersky], [типовые инциденты — фишинг/BEC/ransomware]. Задача: Составить 12-недельную программу обучения SOC-аналитика L1 с недельными целями, практикой на эмуляциях атак и критериями допуска к боевым сменам. Формат вывода: (1) Таблица по неделям: тема, теория (часы), лаба (часы), KPI недели. (2) Список из 10 practical labs на базе Atomic Red Team с маппингом на MITRE ATT&CK тактики TA0001–TA0011. (3) Чек-лист допуска к дежурству: 15 обязательных навыков с методом проверки. Детали: Привязывай каждую неделю к реальным alert-ам из SIEM. Избегай академической теории без практики — соотношение теория/практика не более 30/70.
6 правил промтов для реагирования на инцидент
Используйте эти правила, чтобы получать точные плейбуки реагирования на инциденты в ChatGPT и Claude
Задайте роль IR-аналитика
Вместо 'Ты безопасник' пишите: 'Ты Tier-2 IR-аналитик SOC с опытом расследования ransomware по NIST SP 800-61'. ИИ сразу включит фазы Containment и Eradication.
Указывайте IOC и телеметрию
Дайте в промте конкретику: SHA-256 хэши, C2-домены, MITRE ATT&CK ID (например T1486), логи EDR и Sysmon EventID 1/3/11. Без этого ИИ даст шаблонный совет.
Запрашивайте формат плейбука
Просите вывод в структуре SANS PICERL или Diamond Model: таблица с колонками Фаза, Действие, Инструмент, Артефакт, Ответственный. Это ускоряет передачу в runbook.
Фиксируйте фазу и severity
Containment при Sev-1 ransomware и Recovery при Sev-3 phishing — разные задачи. Шаблон: 'Фаза=Eradication, severity=High, scope=домен-контроллер, RTO=4 часа'.
Итерируйте через уточнения
После первого плейбука добавьте: 'Углубись в lateral movement через SMB, дай KQL-запрос для Defender XDR и правило Sigma для детекта PsExec'. Так растёт глубина.
Избегайте размытых запросов
До: 'Что делать при взломе?'. После: 'Инцидент T1566.001, EDR показал Cobalt Strike beacon на 3 хостах Windows 10, дай шаги Containment по NIST за 30 минут'.
FAQ: промты для реагирования на инцидент
Промты для реагирования на инцидент — это готовые текстовые шаблоны, которые задают нейросети роль SOC-аналитика или Incident Response Lead и структурируют анализ угроз по фазам PICERL. В ChatGPT такой промт ускоряет разбор SIEM-логов и EDR-телеметрии: модель сразу выделяет IoC, сопоставляет технику с MITRE ATT&CK и предлагает шаги по сдерживанию. Внутри промта фиксируется методология (NIST SP 800-61 или Cyber Kill Chain), тип инцидента — ransomware, фишинг или компрометация учётки — и приоритет реакции, например сохранение цифровых доказательств. Скопируйте готовый промт из генератора и вставьте в ChatGPT, чтобы получить отчёт по инциденту за минуту вместо часа ручного разбора.
Для плана сдерживания ransomware задайте ChatGPT роль Incident Response Lead и структурируйте промт по фазе Containment из SANS PICERL. В инструкции укажите источник данных — EDR-телеметрия и дампы памяти — и попросите модель построить шаги: изоляция хостов по сегментам VLAN, блокировка C2-доменов на периметре, отзыв Kerberos-тикетов, снятие образов RAM для форензики. Добавьте ссылки на техники MITRE ATT&CK T1486 и T1490, чтобы нейросеть предложила контрмеры под конкретную TTP. Обязательно пропишите приоритет — сохранение цифровых доказательств для 152-ФЗ. Вставьте промт в ChatGPT, и за 2-3 минуты получите чек-лист из 15-20 шагов сдерживания. Попробуйте сгенерировать такой промт бесплатно в нашем сервисе.
Генератор промтов сокращает MTTR (mean time to respond) SOC-аналитика L1 с 45 до 10 минут за счёт типовых сценариев для ИИ. Аналитик выбирает тип инцидента — утечка ПДн или фишинговая кампания — фазу PICERL и источник данных, а нейросеть Claude или ChatGPT сразу выдаёт структурированный разбор: корреляция SIEM-событий, маппинг на MITRE ATT&CK, draft-уведомление для Роскомнадзора по 152-ФЗ. Для L2-аналитика это снижает когнитивную нагрузку при триаже 200+ алертов в смену. CISO получает готовый шаблон коммуникации со стейкхолдерами и регуляторами. Используйте генератор бесплатно, чтобы собрать библиотеку промтов под ваш playbook за один вечер.
Промты для идентификации фокусируют нейросеть на обнаружении и классификации: Claude анализирует SIEM-логи и PCAP-трафик, ищет аномалии, сопоставляет с IoC и техниками MITRE ATT&CK, определяет scope компрометации. Промты для восстановления решают другую задачу — возврат сервисов в прод: модель строит план rebuild затронутых систем, rotate секретов и паролей, восстановления из бэкапов с проверкой целостности по хеш-суммам. Первые опираются на EDR-телеметрию и дампы памяти, вторые — на CMDB и RTO/RPO-метрики. Приоритеты тоже разные: идентификация ставит сохранение цифровых доказательств, восстановление — минимизацию downtime. Скопируйте оба шаблона из генератора и запустите последовательно в Claude для полного цикла реагирования.
Промты из генератора совместимы с ChatGPT, Claude, Gemini, YandexGPT и GigaChat, но с нюансами под задачи IR. ChatGPT и Claude лучше держат длинный контекст SIEM-логов (200K токенов) и точнее мапят TTP на MITRE ATT&CK — подходят для сложного триажа APT. YandexGPT и GigaChat выигрывают, когда нужно соответствие 152-ФЗ и работа с ПДн внутри российского контура — данные не уходят за границу. Gemini удобен для мультимодального разбора скриншотов фишинговых писем. Для CISO-отчётов по NIST SP 800-61 используйте Claude, для оперативных команд L1 — ChatGPT. Вставьте промт в вашу нейросеть и сравните качество вывода — генератор бесплатный.