Skriptanalyse mit Microsoft Copilot in Microsoft Defender

• Gilt für::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Durch KI-gestützte Untersuchungsfunktionen von Microsoft Security Copilot im Microsoft Defender-Portal können Sicherheitsteams ihre Analyse bösartiger oder verdächtiger Skripts und Befehlszeilen beschleunigen.

In diesem Leitfaden wird beschrieben, was die Skriptanalysefunktion ist und wie sie funktioniert, einschließlich, wie Sie Feedback zu den generierten Ergebnissen geben können.

Klare Ideen vor dem Loslegen

Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit den folgenden Artikeln vertraut machen:

• Was ist Security Copilot?
• Security Copilot Erfahrungen
• Erste Schritte mit Security Copilot
• Grundlegendes zur Authentifizierung in Security Copilot
• Eingabeaufforderung in Security Copilot

Die meisten komplexen und komplexesten Angriffe wie Ransomware umgehen die Erkennung auf unterschiedliche Weise, einschließlich der Verwendung von Skripts und PowerShell-Befehlszeilen. Darüber hinaus werden diese Skripts häufig verschleiert, was die Komplexität der Erkennung und Analyse erhöht. Sicherheitsteams müssen Skripts schnell analysieren, um die Funktionen zu verstehen und geeignete Entschärfungen anzuwenden, um angriffe sofort daran zu hindern, innerhalb eines Netzwerks weiter zu gehen.

Die Skriptanalysefunktion bietet Sicherheitsteams zusätzliche Kapazität zum Überprüfen von Skripts, ohne externe Tools zu verwenden. Diese Funktion reduziert auch die Komplexität der Analyse, minimiert Herausforderungen und ermöglicht es Sicherheitsteams, ein Skript schnell als bösartig oder unschädlich zu bewerten und zu identifizieren.

Security Copilot Integration in Microsoft Defender

Die Skriptanalysefunktion ist im Microsoft Defender-Portal für Kunden verfügbar, die Zugriff auf Security Copilot bereitgestellt haben.

Die Skriptanalyse ist auch in der Security Copilot eigenständigen Oberfläche über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.

Hauptmerkmale

Sie können auf die Skriptanalysefunktion innerhalb des Angriffsverlaufs unterhalb des Incidentdiagramms auf einer Incidentseite und in der Gerätezeitachse zugreifen.

Führen Sie die folgenden Schritte aus, um mit der Analyse zu beginnen:

1. Öffnen Sie eine Incidentseite, und wählen Sie dann im linken Bereich ein Element aus, um die Angriffsmeldung unterhalb des Incidentdiagramms zu öffnen. Wählen Sie innerhalb der Angriffsgeschichte ein Ereignis mit einem Skript oder einer Befehlszeile aus, das Sie analysieren möchten. Klicken Sie auf Analysieren, um die Analyse zu starten.

   

   Alternativ können Sie ein Ereignis auswählen, das in der Zeitachsenansicht des Geräts überprüft werden soll. Wählen Sie im Dateidetailsbereich Analysieren aus, um die Skriptanalysefunktion auszuführen.

   

2. Copilot führt die Skriptanalyse aus und zeigt die Ergebnisse im Bereich "Copilot" an. Wählen Sie Code anzeigen aus, um das Skript zu erweitern, oder Code ausblenden, um die Erweiterung zu schließen.

   

3. Wählen Sie MITRE-Techniken anzeigen aus, um die dem Skript zugeordneten MITRE ATT&CK-Techniken anzuzeigen. Diese Informationen helfen Ihnen, die vom Skript verwendeten Techniken zu verstehen und wie sich dies auf Ihre Umgebung auswirken kann. Wählen Sie MITRE-Techniken ausblenden aus, um die Erweiterung zu schließen.

   

4. Wählen Sie oben rechts neben der Skriptanalyse die Auslassungspunkte (...) aus, Karte um die Ergebnisse zu kopieren oder erneut zu generieren oder die Ergebnisse in der Security Copilot eigenständigen Benutzeroberfläche anzuzeigen. Wenn Sie In Security Copilot öffnen auswählen, wird eine neue Registerkarte zum eigenständigen Copilot-Portal geöffnet, auf der Sie Eingabeaufforderungen eingeben und auf andere Plug-Ins zugreifen können.

   

5. Überprüfen Sie die Ergebnisse, und verwenden Sie die Informationen, um Ihre Untersuchung und Reaktion auf den Vorfall zu steuern.

Beispiel für die Skriptanalyseeingabeaufforderung

Im Security Copilot eigenständigen Portal können Sie die folgende Aufforderung verwenden, Skripts zu identifizieren und zu analysieren:

• Identifizieren Sie die Skripts in Defender Incident {incident ID}. Handelt es sich um schädliche Skripts?

Tipp

Bei der Analyse von Skripts im Security Copilot-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen aufzunehmen, um sicherzustellen, dass die Skriptanalysefunktion die Ergebnisse liefert.

Feedback geben

Microsoft empfiehlt Ihnen dringend, Copilot Feedback zu geben, da dies für die kontinuierliche Verbesserung einer Funktion von entscheidender Bedeutung ist. Sie können Feedback zu den Ergebnissen geben, indem Sie das Feedbacksymbol am Ende der Skriptanalysekarte gefunden.

Siehe auch

• Weitere Informationen zu anderen in Security Copilot eingebetteten Umgebungen
• Datenschutz und Datensicherheit in Security Copilot

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.