Analyse des scripts avec Microsoft Copilot dans Microsoft Defender
Grâce aux fonctionnalités d’investigation basées sur l’IA de Microsoft Security Copilot dans le portail Microsoft Defender, les équipes de sécurité peuvent accélérer leur analyse des scripts et des lignes de commande malveillants ou suspects.
Ce guide décrit la fonctionnalité d’analyse de script et son fonctionnement, notamment la façon dont vous pouvez fournir des commentaires sur les résultats générés.
Bon à savoir avant de commencer
Si vous débutez avec Security Copilot, vous devez vous y familiariser en lisant les articles suivants :
- Qu’est-ce que Security Copilot ?
- Security Copilot expériences
- Bien démarrer avec Sécurité Copilot
- Comprendre l’authentification dans Security Copilot
- Invite dans Security Copilot
Les attaques les plus complexes et les plus sophistiquées, telles que les rançongiciels, échappent à la détection par de nombreuses façons, notamment l’utilisation de scripts et de lignes de commande PowerShell. En outre, ces scripts sont souvent masqués, ce qui ajoute à la complexité de la détection et de l’analyse. Les équipes chargées des opérations de sécurité doivent analyser rapidement les scripts pour comprendre les fonctionnalités et appliquer une atténuation appropriée, ce qui empêche immédiatement les attaques de progresser au sein d’un réseau.
La fonctionnalité d’analyse de script offre aux équipes de sécurité une capacité supplémentaire pour inspecter les scripts sans utiliser d’outils externes. Cette fonctionnalité réduit également la complexité de l’analyse, en réduisant les défis et en permettant aux équipes de sécurité d’évaluer et d’identifier rapidement un script comme malveillant ou sans gravité.
intégration Security Copilot dans Microsoft Defender
La fonctionnalité d’analyse de script est disponible dans le portail Microsoft Defender pour les clients qui disposent d’un accès provisionné à Security Copilot.
L’analyse de script est également disponible dans l’expérience autonome Security Copilot via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Security Copilot.
Principales fonctionnalités
Vous pouvez accéder à la fonctionnalité d’analyse des scripts dans le récit de l’attaque sous le graphique de l’incident sur une page d’incident et dans la chronologie de l’appareil.
Pour commencer l’analyse, procédez comme suit :
Ouvrez une page d’incident, puis sélectionnez un élément dans le volet gauche pour ouvrir le récit de l’attaque sous le graphique de l’incident. Dans le récit de l’attaque, sélectionnez un événement avec un script ou une ligne de commande que vous souhaitez analyser. Cliquez sur Analyser pour démarrer l’analyse.
Vous pouvez également sélectionner un événement à inspecter dans l’affichage chronologique de l’appareil. Dans le volet Détails du fichier, sélectionnez Analyser pour exécuter la fonctionnalité d’analyse des scripts.
Copilot exécute une analyse de script et affiche les résultats dans le volet Copilot. Sélectionnez Afficher le code pour développer le script ou Masquer le code pour fermer l’extension.
Sélectionnez Afficher les techniques MITRE pour afficher les techniques MITRE ATT&CK associées au script. Ces informations vous aident à comprendre les techniques utilisées par le script et leur impact sur votre environnement. Sélectionnez Masquer les techniques MITRE pour fermer l’extension.
Sélectionnez les points de suspension Autres actions (...) en haut à droite de l’analyse de script carte pour copier ou régénérer les résultats, ou afficher les résultats dans l’expérience autonome Security Copilot. La sélection de Ouvrir dans Security Copilot ouvre un nouvel onglet sur le portail autonome Copilot, dans lequel vous pouvez entrer des invites et accéder à d’autres plug-ins.
Passez en revue les résultats et utilisez les informations pour guider votre investigation et votre réponse à l’incident.
Exemple d’invite d’analyse de script
Dans le portail autonome Security Copilot, vous pouvez utiliser l’invite suivante pour identifier et analyser les scripts :
- Identifiez les scripts dans l’incident Defender {ID d’incident}. S’agit-il de scripts malveillants ?
Conseil
Lors de l’analyse des scripts dans le portail Security Copilot, Microsoft recommande d’inclure le mot Defender dans vos invites pour vous assurer que la fonctionnalité d’analyse de script fournit les résultats.
Envoyer des commentaires
Microsoft vous encourage vivement à fournir des commentaires à Copilot, car il est essentiel pour l’amélioration continue d’une fonctionnalité. Vous pouvez fournir des commentaires sur les résultats en sélectionnant l’icône de commentaires situé à la fin de la carte d’analyse des scripts.
Voir aussi
- En savoir plus sur d’autres expériences incorporées Sécurité Copilot
- Confidentialité et sécurité des données dans Securité Copilot
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.