Sdílet prostřednictvím

Analýza skriptů pomocí Microsoft Copilotu v Microsoft Defender

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Díky možnostem vyšetřování využívajícím umělou inteligenci z Microsoft Security Copilot na portálu Microsoft Defender můžou bezpečnostní týmy zrychlit analýzu škodlivých nebo podezřelých skriptů a příkazových řádků.

Tato příručka popisuje, co je funkce analýzy skriptů a jak funguje, včetně toho, jak můžete poskytnout zpětnou vazbu k vygenerovaným výsledkům.

Než začnete

Pokud s Security Copilot začínáte, měli byste se s ním seznámit v následujících článcích:

Nejkomplexnější a sofistikované útoky, jako je ransomware, se vyhýbají detekci mnoha způsoby, včetně použití skriptů a příkazových řádků PowerShellu. Tyto skripty jsou navíc často obfuskované, což zvyšuje složitost detekce a analýzy. Bezpečnostní provozní týmy potřebují rychle analyzovat skripty, aby porozuměly schopnostem a použily odpovídající zmírnění rizik a okamžitě zabránily dalšímu postupu útoků v síti.

Možnost analýzy skriptů poskytuje bezpečnostním týmům přidanou kapacitu pro kontrolu skriptů bez použití externích nástrojů. Tato funkce také snižuje složitost analýzy, minimalizuje výzvy a umožňuje bezpečnostním týmům rychle vyhodnotit a identifikovat skript jako škodlivý nebo neškodný.

integrace Security Copilot v Microsoft Defender

Funkce analýzy skriptů je k dispozici na portálu Microsoft Defender pro zákazníky, kteří zřídili přístup k Security Copilot.

Analýza skriptů je také dostupná v Security Copilot samostatném prostředí prostřednictvím modulu plug-in Microsoft Defender XDR. Další informace o předinstalovaných modulech plug-in v Security Copilot.

Klíčové funkce

K možnosti analýzy skriptů se dostanete v rámci scénáře útoku pod grafem incidentů na stránce incidentu a na časové ose zařízení.

Pokud chcete zahájit analýzu, proveďte následující kroky:

  1. Otevřete stránku incidentu a pak vyberte položku v levém podokně, abyste otevřeli scénář útoku pod grafem incidentu. V rámci scénáře útoku vyberte událost se skriptem nebo příkazovým řádkem, který chcete analyzovat. Klikněte na Analyzovat a spusťte analýzu.

    Snímek obrazovky znázorňující tlačítko pro analýzu skriptu v zobrazení scénáře útoku

    Případně můžete vybrat událost, kterou chcete zkontrolovat v zobrazení časové osy zařízení. V podokně podrobností souboru vyberte Analyzovat, aby se spustila možnost analýzy skriptu.

    Snímek obrazovky znázorňující tlačítko Analyzovat na časové ose zařízení

  2. Copilot spustí analýzu skriptu a zobrazí výsledky v podokně Copilota. Výběrem Zobrazit kód a rozbalte skript. Pokud chcete rozšíření zavřít, klikněte na Skrýt kód.

    Snímek obrazovky se zvýrazněnou možností zobrazit nebo skrýt kód ve výsledcích analýzy skriptu

  3. Vyberte Show MITRE techniques (Zobrazit techniky MITRE ) a zobrazte techniky MITRE ATT&CK přidružené ke skriptu. Tyto informace vám pomohou pochopit techniky používané skriptem a to, jak může ovlivnit vaše prostředí. Výběrem možnosti Skrýt techniky MITRE rozšíření zavřete.

    Snímek obrazovky se zvýrazněnou možností zobrazit nebo skrýt techniky MITRE ve výsledcích analýzy skriptů

  4. Vyberte tři tečky Další akce (...) v pravém horním rohu karty analýzy skriptů a zkopírujte nebo znovu vygenerujte výsledky nebo zobrazte výsledky v Security Copilot samostatném prostředí. Výběrem možnosti Otevřít v Security Copilot otevřete novou kartu samostatného portálu Copilot, kde můžete zadávat výzvy a přistupovat k dalším modulům plug-in.

    Snímek obrazovky znázorňující možnost Další akce na kartě Analýza skriptů Copilot

  5. Projděte si výsledky a použijte informace, které vás provedou vyšetřováním a reakcí na incident.

Výzva k analýze ukázkových skriptů

Na Security Copilot samostatném portálu můžete použít následující výzvu k identifikaci a analýze skriptů:

  • Identifikujte skripty v incidentu defenderu {ID incidentu}. Jedná se o škodlivé skripty?

Tip

Při analýze skriptů na portálu Security Copilot microsoft doporučuje zahrnout do výzev slovo Defender, aby se zajistilo, že funkce analýzy skriptů přináší výsledky.

Poskytnutí zpětné vazby

Společnost Microsoft vás velmi doporučuje, abyste společnosti Copilot poskytli zpětnou vazbu, protože je to zásadní pro neustálé vylepšování schopností. Zpětnou vazbu k výsledkům můžete poskytnout výběrem ikony zpětné vazby Snímek obrazovky s ikonou zpětné vazby na kartách pro Copilot v Defender. Najdete ho na konci karty analýzy skriptu.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.