Freigeben über

Dateianalyse mit Microsoft Copilot in Microsoft Defender

  • Artikel
  • Gilt für::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot im Microsoft Defender-Portal ermöglicht es Sicherheitsteams, schädliche und verdächtige Dateien mithilfe von KI-gestützten Dateianalysefunktionen schnell zu identifizieren.

Klare Ideen vor dem Loslegen

Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit den folgenden Artikeln vertraut machen:

Sicherheitsteams, die Angriffe nachverfolgen und beheben, benötigen Tools und Techniken, um potenziell schädliche Dateien schnell zu analysieren. Komplexe Angriffe verwenden häufig Dateien, die legitime Dateien oder Systemdateien imitieren, um nicht erkannt zu werden. Darüber hinaus benötigen neue Sicherheitsanalysten möglicherweise Zeit und müssen umfangreiche Erfahrungen sammeln, um verfügbare Analysetools und -techniken zu verwenden.

Die Dateianalysefunktion von Copilot in Defender verringert die Barriere beim Lernen der Dateianalyse, indem sofort zuverlässige und vollständige Dateiuntersuchungsergebnisse bereitgestellt werden. Mit dieser Funktion können Sicherheitsanalysten aller Ebenen ihre Untersuchung mit einer kürzeren Bearbeitungszeit abschließen. Der Bericht enthält eine Übersicht über die Datei, Details zum Inhalt der Datei und eine Zusammenfassung der Bewertung der Datei.

Security Copilot Integration in Microsoft Defender

Die Dateianalysefunktion ist in Microsoft Defender für Kunden verfügbar, die Zugriff auf Security Copilot bereitgestellt haben.

Security Copilot benutzer des eigenständigen Portals verfügen auch über die Dateianalysefunktion und andere Defender XDR Funktionen über das Microsoft Defender XDR-Plug-In. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.

Hauptmerkmale

Die von Copilot generierten Dateianalyseergebnisse enthalten in der Regel die folgenden Informationen:

  • Übersicht – Enthält eine Bewertung der Datei, einschließlich eines Erkennungsnamens, wenn die Datei böswillig/potenziell unerwünscht ist, wichtige Dateiinformationen wie Zertifikate und Signaturgeber sowie eine Zusammenfassung des Inhalts der Datei, die zur Bewertung beiträgt.
  • Details – Hebt die in der Datei gefundenen Zeichenfolgen hervor, listet API-Aufrufe auf, die von der Datei verwendet werden, und listet Informationen zu den relevanten Zertifikaten der Datei auf.

Hinweis

Die Analyseergebnisse variieren je nach Inhalt der Datei.

Sie können auf die Dateianalysefunktion wie folgt zugreifen:

  • Öffnen Sie eine Dateiseite. Copilot generiert beim Öffnen einer Dateiseite automatisch eine Analyse. Die Ergebnisse, die standardmäßig die Übersichtsinformationen anzeigen, werden dann im Bereich Copilot angezeigt.
    Screenshot der Ergebnisse der Dateianalyse in Copilot in Defender mit hervorgehobener Option „Details anzeigen“. Wählen Sie Details anzeigen (siehe oben) aus, um die vollständigen Ergebnisse anzuzeigen, oder Details ausblenden (unten hervorgehoben), um die Ergebnisse zu minimieren. Screenshot der Ergebnisse der Dateianalyse in Copilot in Defender mit hervorgehobener Option „Details ausblenden“.
  • Wählen Sie auf einer Vorfallseite eine Datei aus, die im Angriffsverlaufsdiagramm untersucht werden soll. Sie können auch eine Datei auswählen, die auf einer Warnungsseite untersucht werden soll. Screenshot des Angriffsverlaufsdiagramms mit hervorgehobenen Dateientitäten. Wählen Sie eine Zu untersuchende Datei und dann im Seitenbereich Analysieren aus, um mit der Analyse zu beginnen. Die Ergebnisse werden dann im Bereich „Copilot“ angezeigt. Screenshot der Vorfallseite mit hervorgehobener Schaltfläche „Dateianalyse“.

Sie können die Ergebnisse in die Zwischenablage kopieren, die Ergebnisse erneut generieren oder das Security Copilot-Portal öffnen, indem Sie die Auslassungspunkte (...) neben der Dateianalyse Karte auswählen.

Beispieldateianalyseaufforderung

Im Security Copilot eigenständigen Portal können Sie die folgende Eingabeaufforderung verwenden, um eine Gerätezusammenfassung zu generieren:

  • Informieren Sie mich über die Dateien in Defender Incident {Incidentnummer). Welche Dateien sind schädlich?

Tipp

Bei der Untersuchung von Dateien im Security Copilot-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen aufzunehmen, um sicherzustellen, dass die Dateianalysefunktion die Ergebnisse liefert.

Feedback geben

Überprüfen Sie immer die von Copilot in Defender generierten Ergebnisse. Ihr Feedback trägt dazu bei, die Qualität der von Copilot generierten Ergebnisse zu verbessern. Wählen Sie das Feedbacksymbol Screenshot des Feedbacksymbols für Copilot in Defender-Karten am unteren Rand des Bereichs „Copilot“ aus, um Feedback zu geben.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.