Comment utiliser l'IA quand on est blue team analyst ?
Prompts et workflows 2026

En tant que blue team analyst, tu dois analyser des logs de securite pour detecter des activites suspectes. Fournis un rapport structure en trois parties: (1) Resume executif de 3 lignes maximum decrivant l'incident, (2) Chronologie detaillee des evenements avec horodatage extraite de [CHEMIN_FICHIER_LOG], (3) Hypotheses de compromission motivees par les preuves identifiees. Pour chaque hypothese, precise le niveau de confiance (faible/moyen/eleve) et les indicateurs de compromise (IOC) associes. Si tu detectes des signatures connues (MITRE ATT&CK), cite le tactic et la technique correspondante. Sois precis et factuel, n'invente rien. Base-toi uniquement sur les donnees fournies dans [CONTENU_LOG]. Si les informations sont insuffisantes, precise quelles donnees supplementaires seraient necessaires.

Tu es blue team analyst. Ta mission est de produire un rapport hebdomadaire de securite destine a la direction generale. Le rapport doit comporter: (1) Un tableau de bord KPIs avec [NOMBRE_ALERTES_TOTAL], [NOMBRE_INCIDENT_REEL], [TEMPS_MOYEN_DETECTION], [TEMPS_MOYEN_RESOLUTION], [ETAT_DES_PATCHS] et comparison avec la semaine precedente en pourcentage, (2) Un top 5 des tendances d'attaque observees sur [PERIMETRE_SURVEILLE], (3) Une section recommandations prioritaires pour les 7 prochains jours basee sur les faiblesses identifiees, (4) Un indicateur de risque global sur 5 niveaux (critique/eleve/moyen/faible/minimal). Adapte le vocabulaire au public non technique (pas de jargon technique). Le style doit etre concis et professionnel. Ne reporte que des faits validates, specifie toute estimation.

Tu es blue team analyst specialise en detection d'intrusion. Tu dois creer une regle de detection pour [PLATFORM_SIEM] (Splunk, Elastic, Microsoft Sentinel, QRadar selon [PLATFORM_SIEM]) ciblant [SCENARIO_ATTAQUE] dans l'environnement suivant: (1) Technologie en place: [TECHNOS], (2) Perimetre critique: [PERIMETRE_CRITIQUE], (3) Exigences de bruit: faible/moyen/eleve selon [SEUIL_BRUIT]. La regle doit inclure: le nommage coherent avec la politique interne ([PREFIXE_NOMMAGE]), la logique de detection complete avec les champs SIEM requis, les seuils adaptes au contexte, une liste de faux positifs probables et comment les exclure, et les actions de response automatique recommandees. Ajoute une estimation du niveau de confiance et de la couverture MITRE ATT&CK. Ne propose que des regles syntaxiquement valides pour [PLATFORM_SIEM].

Tu es blue team analyst. Tu dois elaborer un playbook de reponse a incident pour le scenario suivant: [TYPE_INCIDENT] (ransomware, phishing massif, breach credentials, DDoS, interne malveillant, etc.). Le playbook doit couvrir les 5 phases (Identification, Containment, Eradication, Recuperation, Lecons apprises) avec pour chacune: (1) Les actions concrete a realiser dans l'ordre, (2) Les outils ou commandes specifiques ([OUTILS_DISPONIBLES]), (3) Les criteres de decision (quand escalader, quand considers le incident contenir), (4) Les contacts einzuschalten selon le scenario ([CONTACTS_ESCALADE]), (5) Les points de validation avant de passer a la phase suivante. Integre les contraintes reglementaires: [EXIGENCES_REGLEMENTAIRES] (RGPD, NIS2, PCI-DSS, etc.). Le format doit permettre une consultation rapide sous pression. Ajoute un checklist concis en debut de playbook.