Compartir a través de

Análisis de scripts con Microsoft Copilot en Microsoft Defender

  • Artículo
  • Se aplica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A través de las funcionalidades de investigación con tecnología de inteligencia artificial de Microsoft Security Copilot en el portal de Microsoft Defender, los equipos de seguridad pueden acelerar el análisis de scripts y líneas de comandos malintencionados o sospechosos.

En esta guía se describe qué es la funcionalidad de análisis de scripts y cómo funciona, incluido cómo puede proporcionar comentarios sobre los resultados generados.

Saber antes de empezar

Si no está familiarizado con Security Copilot, debe familiarizarse con él leyendo los artículos siguientes:

Los ataques más complejos y sofisticados, como ransomware, eludir la detección de varias maneras, incluido el uso de scripts y líneas de comandos de PowerShell. Además, estos scripts suelen estar ofuscados, lo que aumenta la complejidad de la detección y el análisis. Los equipos de operaciones de seguridad necesitan analizar rápidamente scripts para comprender las funcionalidades y aplicar la mitigación adecuada, lo que impide inmediatamente que los ataques avancen más dentro de una red.

La funcionalidad de análisis de scripts proporciona a los equipos de seguridad capacidad adicional para inspeccionar scripts sin usar herramientas externas. Esta funcionalidad también reduce la complejidad del análisis, minimizando los desafíos y permitiendo a los equipos de seguridad evaluar e identificar rápidamente un script como malintencionado o benigno.

integración Security Copilot en Microsoft Defender

La funcionalidad de análisis de scripts está disponible en el portal de Microsoft Defender para los clientes que han aprovisionado el acceso a Security Copilot.

El análisis de scripts también está disponible en la experiencia Security Copilot independiente a través del complemento Microsoft Defender XDR. Más información sobre los complementos preinstalados en Security Copilot.

Características principales

Puede acceder a la funcionalidad de análisis de scripts dentro del caso de ataque debajo del gráfico de incidentes en una página de incidente y en la escala de tiempo del dispositivo.

Para comenzar el análisis, realice los pasos siguientes:

  1. Abra una página de incidente y, a continuación, seleccione un elemento en el panel izquierdo para abrir el caso de ataque debajo del gráfico de incidentes. En el caso de ataque, seleccione un evento con un script o una línea de comandos que quiera analizar. Haga clic en Analizar para iniciar el análisis.

    Captura de pantalla que muestra el botón de análisis de script en la vista de historia de ataque.

    Como alternativa, puede seleccionar un evento para inspeccionar en la vista de escala de tiempo del dispositivo. En el panel de detalles del archivo, seleccione Analizar para ejecutar la funcionalidad de análisis de scripts.

    Captura de pantalla que muestra el botón Analizar en la escala de tiempo del dispositivo.

  2. Copilot ejecuta el análisis de scripts y muestra los resultados en el panel de Copilot. Seleccione Mostrar código para expandir el script u Ocultar código para cerrar la expansión.

    Captura de pantalla en la que se resalta la opción mostrar u ocultar código dentro de los resultados del análisis de script.

  3. Seleccione Mostrar técnicas de MITRE para ver las técnicas de MITRE ATT&CK asociadas al script. Esta información le ayuda a comprender las técnicas usadas por el script y cómo puede afectar a su entorno. Seleccione Ocultar técnicas de MITRE para cerrar la expansión.

    Captura de pantalla en la que se resalta la opción mostrar u ocultar técnicas MITRE dentro de los resultados del análisis de script.

  4. Seleccione los puntos suspensivos Más acciones (...) en la esquina superior derecha de la tarjeta de análisis de scripts para copiar o regenerar los resultados, o bien ver los resultados en la experiencia Security Copilot independiente. Al seleccionar Abrir en Security Copilot se abre una nueva pestaña en el portal independiente de Copilot, donde puede introducir mensajes y acceder a otros complementos.

    Captura de pantalla que muestra la opción Más acciones en la tarjeta de análisis de scripts de Copilot.

  5. Revise los resultados y use la información para guiar la investigación y la respuesta al incidente.

Símbolo del sistema de análisis de script de ejemplo

En el Security Copilot portal independiente, puede usar el siguiente símbolo del sistema para identificar y analizar scripts:

  • Identifique los scripts del incidente de Defender {id. de incidente}. ¿Son estos scripts malintencionados?

Sugerencia

Al analizar scripts en el portal de Security Copilot, Microsoft recomienda incluir la palabra Defender en los mensajes para asegurarse de que la funcionalidad de análisis de scripts proporciona los resultados.

Enviar comentarios

Microsoft le anima encarecidamente a proporcionar comentarios a Copilot, ya que es fundamental para la mejora continua de una funcionalidad. Puede proporcionar comentarios sobre los resultados seleccionando el icono de comentarios Captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender. que se encuentra al final de la tarjeta de análisis de script.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.