Jaa

Komentosarjan analyysi Microsoft Defenderin Microsoft Copilotin avulla

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Suojaustiimit voivat nopeuttaa haitallisten tai epäilyttävien komentosarjojen ja komentorivien analysointia Microsoft Security Copilot tekoälyä hyödyntävien tutkimustoimintojen avulla Microsoft Defender portaalissa.

Tässä oppaassa kuvataan, mikä komentosarja-analyysiominaisuus on ja miten se toimii, mukaan lukien se, miten voit antaa palautetta luoduista tuloksista.

Tiedä ennen kuin aloitat

Jos et ole aiemmin käyttänyt Security Copilot, tutustu siihen lukemalla seuraavat artikkelit:

Monimutkaisimmat ja kehittyneimmät hyökkäykset, kuten kiristysohjelmat, välttävät tunnistuksen useilla eri tavoilla, kuten komentosarjojen ja PowerShellin komentorivien avulla. Lisäksi nämä komentosarjat ovat usein piilossa, mikä lisää tunnistuksen ja analyysin monimutkaisuutta. Tietoturvatiimien on analysoitava komentosarjoja ja koodeja nopeasti, jotta ne voivat ymmärtää koodien ominaisuudet ja soveltaa asianmukaisia lievennystoimia, mikä estää välittömästi hyökkäysten etenemisen verkossa.

Komentosarjan analyysiominaisuus tarjoaa suojaustiimeille lisäkapasiteetin komentosarjojen tarkastamiseen ilman ulkoisia työkaluja. Tämä ominaisuus myös vähentää analyysin monimutkaisuutta, minimoi haasteita ja antaa tietoturvatiimien nopeasti arvioida ja tunnistaa komentosarjan haitalliseksi tai vaarattomaksi.

Security Copilot integrointi Microsoft Defender

Komentosarja-analyysiominaisuus on käytettävissä Microsoft Defender-portaalissa asiakkaille, jotka ovat varanneet Security Copilot käyttöoikeuden.

Komentosarja-analyysi on käytettävissä myös erillisessä Security Copilot Microsoft Defender XDR laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.

Tärkeimmät ominaisuudet

Voit käyttää hyökkäystarinan komentosarjan analyysiominaisuutta tapaussivun tapauskaavion alla ja laitteen aikajanalla.

Aloita analyysi suorittamalla seuraavat vaiheet:

  1. Avaa tapaussivu ja valitse sitten kohde vasemmasta ruudusta avataksesi hyökkäystarinan tapauskaavion alapuolella. Valitse hyökkäystarinassa tapahtuma, jossa on analysoitava komentosarja tai komentorivi. Aloita analyysi valitsemalla Analysoi.

    Näyttökuva, jossa näkyy komentosarja-analyysipainike hyökkäystarinanäkymässä.

    Vaihtoehtoisesti voit valita tarkistettavan tapahtuman laitteen aikajananäkymässä. Suorita komentosarjan analyysiominaisuus valitsemalla Tiedoston tiedot -ruudussa Analysoi.

    Näyttökuva, jossa näkyy Analysoi-painike laitteen aikajanalla.

  2. Copilot suorittaa komentosarjan analyysin ja näyttää tulokset Copilot-ruudussa. Laajenna komentosarja valitsemalla Näytä koodi tai Sulje laajennus piilota koodi.

    Näyttökuva, jossa korostetaan Näytä tai piilota koodi -asetusta komentosarja-analyysin tuloksissa.

  3. Valitse Näytä MITRE-tekniikat , jos haluat tarkastella komentosarjaan liittyviä MITRE ATT&CK-tekniikoita. Näiden tietojen avulla ymmärrät komentosarjan käyttämät tekniikat ja sen vaikutuksen ympäristöösi. Sulje laajennus valitsemalla Piilota MITRE-tekniikat .

    Näyttökuva, jossa korostetaan NÄYTÄ tai piilota MITRE-tekniikat -vaihtoehto komentosarja-analyysin tuloksissa.

  4. Kopioi tai luo tulokset uudelleen valitsemalla Komentosarja-analyysikortin oikeasta yläkulmasta Lisää toimintoja -ellipsi (...) tai tarkastele tuloksia erillisessä Security Copilot. Kun valitset Avaa Security Copilot avaa copilotin erilliseen portaaliin uuden välilehden, jossa voit syöttää kehotteita ja käyttää muita laajennuksia.

    Näyttökuva, jossa näkyy Lisää toimintoja -vaihtoehto Copilot-komentosarja-analyysikortissa.

  5. Tarkista tulokset käyttämällä tietoja, jotka ohjaavat tutkimustasi ja vastaustasi tapaukseen.

Esimerkki komentosarja-analyysikehote

Voit käyttää Security Copilot erillisessä portaalissa seuraavaa kehotetta komentosarjojen tunnistamiseen ja analysointiin:

  • Tunnista Defenderin tapauksen {incident ID} komentosarjat. Ovatko nämä haitallisia komentosarjoja?

Vihje

Kun analysoit komentosarjoja Security Copilot-portaalissa, Microsoft suosittelee, että lisäät defender-sanan kehotteeseen varmistaaksesi, että komentosarja-analyysiominaisuus tuottaa tulokset.

Anna palautetta

Microsoft rohkaisee sinua antamaan palautetta Copilotille, sillä se on erittäin tärkeää ominaisuuden jatkuvan parantamisen kannalta. Voit antaa palautetta tuloksista valitsemalla palautekuvakkeen Näyttökuva Copilotin palautekuvakkeesta Defender-korteissa. Se löytyy komentosarjan analyysikortin lopusta.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.