Condividi tramite

Analisi dei file con Microsoft Copilot in Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot nel portale di Microsoft Defender consente ai team di sicurezza di identificare rapidamente file dannosi e sospetti tramite funzionalità di analisi dei file basate su intelligenza artificiale.

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:

I team operativi di sicurezza che monitorano e risolvono gli attacchi hanno bisogno di strumenti e tecniche per analizzare rapidamente i file potenzialmente dannosi. Gli attacchi più sofisticati spesso utilizzano file che imitano file legittimi o di sistema per evitare il rilevamento. Inoltre, gli analisti di sicurezza alle prime armi potrebbero aver bisogno di tempo e di acquisire una notevole esperienza per utilizzare gli strumenti e le tecniche di analisi disponibili.

La capacità di analisi dei file di Copilot in Defender riduce l'ostacolo dell'apprendimento dell'analisi dei file, fornendo immediatamente risultati affidabili e completi dell'indagine sui file. Questa capacità consente agli analisti della sicurezza di tutti i livelli di completare le indagini con tempi più brevi. Il report include una panoramica del file, i dettagli del contenuto del file e un riepilogo della valutazione del file.

integrazione Security Copilot in Microsoft Defender

La funzionalità di analisi dei file è disponibile in Microsoft Defender per i clienti che hanno effettuato il provisioning dell'accesso a Security Copilot.

Security Copilot utenti del portale autonomo hanno anche la funzionalità di analisi dei file e altre funzionalità di Defender XDR tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Security Copilot.

Funzionalità principali

I risultati dell'analisi dei file generati da Copilot contengono solitamente le seguenti informazioni:

  • Panoramica - contiene una valutazione del file, compreso un nome di rilevamento se il file è dannoso/potenzialmente indesiderato, informazioni importanti sul file come i certificati e il firmatario e un riepilogo del contenuto del file che contribuisce alla valutazione.
  • Dettagli - evidenzia le Stringhe presenti nel file, elenca le chiamate API utilizzate dal file ed elenca le informazioni sui Certificati rilevanti del file.

Nota

I risultati dell'analisi variano a seconda del contenuto del file.

È possibile accedere alla funzionalità di analisi dei file nei modi seguenti:

  • Aprire una pagina di file. Copilot genera automaticamente un'analisi all'apertura di una pagina di file. I risultati, che mostrano le informazioni di panoramica per impostazione predefinita, vengono quindi visualizzati nel riquadro Copilot.
    Screenshot dei risultati dell'analisi dei file in Copilot in Defender con l'opzione Mostra dettagli evidenziata. Selezionare Mostra dettagli (illustrato in precedenza) per visualizzare i risultati completi o Nascondi dettagli (evidenziati di seguito) per ridurre al minimo i risultati. Screenshot dei risultati dell'analisi dei file in Copilot in Defender con l'opzione Nascondi dettagli evidenziata.
  • Dalla pagina di un evento imprevisto, scegliere un file da analizzare nel grafico della storia dell'attacco. È anche possibile scegliere un file da analizzare in una pagina di avviso. Screenshot del grafico del brano di attacco con le entità file evidenziate. Selezionare un file da analizzare, quindi selezionare Analizza nel riquadro laterale per iniziare l'analisi. I risultati vengono quindi visualizzati nel riquadro Copilot. Screenshot della pagina dell'evento imprevisto con il pulsante di analisi dei file evidenziato.

È possibile copiare i risultati negli Appunti, rigenerare i risultati o aprire il portale di Security Copilot selezionando i puntini di sospensione Altre azioni (...) nella parte superiore della scheda di analisi dei file.

Richiesta di analisi file di esempio

Nel portale autonomo Security Copilot è possibile usare la richiesta seguente per generare un riepilogo del dispositivo:

  • Informazioni sui file in Defender incident {incident number). Quali file sono dannosi?

Consiglio

Quando si analizzano i file nel portale di Security Copilot, Microsoft consiglia di includere la parola Defender nelle richieste per assicurarsi che la funzionalità di analisi dei file fornisca i risultati.

Inviare feedback

Esaminare sempre i risultati generati da Copilot in Defender. Il feedback consente di migliorare la qualità dei risultati generati da Copilot. Selezionare l'icona di feedback Screenshot dell'icona di feedback per Copilot nelle schede defender nella parte inferiore del riquadro Copilot per fornire commenti e suggerimenti.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.