Del via

Scriptanalyse med Microsoft Copilot i Microsoft Defender

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Ved hjælp af AI-drevne undersøgelsesfunktioner fra Microsoft Security Copilot på Microsoft Defender-portalen kan sikkerhedsteams fremskynde deres analyse af skadelige eller mistænkelige scripts og kommandolinjer.

Denne vejledning beskriver, hvad funktionen til scriptanalyse er, og hvordan den fungerer, herunder hvordan du kan give feedback på de genererede resultater.

Vær at vide, før du begynder

Hvis du ikke kender Security Copilot, bør du blive fortrolig med den ved at læse følgende artikler:

De mest komplekse og avancerede angreb som ransomware undgår opdagelse på mange måder, herunder brugen af scripts og PowerShell-kommandolinjer. Desuden er disse scripts ofte tilslørede, hvilket gør dem endnu sværere at opdage og analysere. Sikkerhedsteams skal hurtigt kunne analysere scripts for at forstå funktionen og anvende passende afhjælpning, så angreb straks stoppes fra at udvikle sig yderligere i et netværk.

Funktionen til scriptanalyse giver sikkerhedsteams ekstra kapacitet til at inspicere scripts uden brug af eksterne værktøjer. Denne funktion reducerer også kompleksiteten i analysen, minimerer udfordringer og giver sikkerhedsteams mulighed for hurtigt at vurdere og identificere et script som ondsindet eller godartet.

Security Copilot integration i Microsoft Defender

Scriptanalysefunktionen er tilgængelig på Microsoft Defender-portalen for kunder, der har klargjort adgang til Security Copilot.

Scriptanalyse er også tilgængelig i Security Copilot enkeltstående oplevelse via Microsoft Defender XDR-plug-in'en. Få mere at vide om forudinstallerede plug-ins i Security Copilot.

Nøglefunktioner

Du kan få adgang til funktionen til scriptanalyse i angrebshistorien under hændelsesgrafen på en hændelsesside og på enhedens tidslinje.

Udfør følgende trin for at begynde analysen:

  1. Åbn en hændelsesside, og vælg derefter et element i venstre rude for at åbne angrebshistorien under hændelsesgrafen. I angrebshistorien skal du vælge en hændelse med et script eller en kommandolinje, som du vil analysere. Klik på Analysér for at starte analysen.

    Skærmbillede, der viser knappen til scriptanalyse i visningen af angrebshistorien.

    Du kan også vælge en hændelse, der skal undersøges på enhedens tidslinjevisning. Vælg Analysér i ruden med filoplysninger for at køre funktionen til scriptanalyse.

    Skærmbillede, der viser knappen Analysér på enhedens tidslinje.

  2. Copilot kører scriptanalyse og viser resultaterne i ruden Copilot. Vælg Vis kode for at udvide scriptet eller Skjul kode for at lukke udvidelsen.

    Skærmbillede, der fremhæver indstillingen vis eller skjul kode i resultaterne af scriptanalysen.

  3. Vælg Vis MITRE-teknikker for at få vist MITRE ATT-&CK-teknikker, der er knyttet til scriptet. Disse oplysninger hjælper dig med at forstå de teknikker, der bruges af scriptet, og hvordan det kan påvirke dit miljø. Vælg Skjul MITRE-teknikker for at lukke udvidelsen.

    Skærmbillede, der fremhæver indstillingen vis eller skjul MITRE-teknikker i resultaterne af scriptanalysen.

  4. Vælg ellipsen Flere handlinger (...) øverst til højre på scriptanalysekortet for at kopiere eller genoprette resultaterne, eller få vist resultaterne i den Security Copilot enkeltstående oplevelse. Hvis du vælger Åbn i Security Copilot åbnes en ny fane på Copilot-portalen, hvor du kan angive prompter og få adgang til andre plug-ins.

    Skærmbillede, der viser indstillingen Flere handlinger på analysekortet med Copilot-scriptet.

  5. Gennemse resultaterne, og brug oplysningerne til at vejlede din undersøgelse og dit svar på hændelsen.

Prompt om analyse af eksempelscript

I Security Copilot enkeltstående portal kan du bruge følgende prompt til at identificere og analysere scripts:

  • Identificer scripts i Defender-hændelsen {incident ID}. Er disse skadelige scripts?

Tip

Når du analyserer scripts på Security Copilot-portalen, anbefaler Microsoft, at du medtager ordet Defender i dine prompter for at sikre, at scriptanalysefunktionen leverer resultaterne.

Giv feedback

Microsoft opfordrer dig på det kraftigste til at give feedback til Copilot, da det er afgørende for en funktions fortsatte forbedring. Du kan give feedback om resultaterne ved at vælge ikonet feedback Skærmbillede af ikonet feedback for Copilot i Defender-kort. blev fundet i slutningen af kortet til scriptanalysen.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.