Condividi tramite

Analisi degli script con Microsoft Copilot in Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Grazie alle funzionalità di indagine basate sull'intelligenza artificiale di Microsoft Security Copilot nel portale di Microsoft Defender, i team di sicurezza possono velocizzare l'analisi di script e righe di comando dannosi o sospetti.

Questa guida descrive cos'è e come funziona la funzionalità di analisi degli script, e come è possibile fornire un feedback sui risultati generati.

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:

Gli attacchi più complessi e sofisticati come il ransomware eludono il rilevamento attraverso numerosi modi, tra cui l'uso di script e PowerShell. Inoltre, questi script sono spesso offuscati, il che aumenta la complessità del rilevamento e dell'analisi. I team operativi di sicurezza devono analizzare rapidamente gli script per comprendere le capacità e applicare la mitigazione appropriata, impedendo immediatamente agli attacchi di progredire ulteriormente all'interno della rete.

La funzionalità di analisi degli script offre ai team di sicurezza capacità aggiuntiva per ispezionare gli script senza usare strumenti esterni. Questa capacità riduce anche la complessità dell'analisi, minimizzando le sfide e consentendo ai team di sicurezza di valutare e identificare rapidamente uno script come dannoso o benigno.

integrazione Security Copilot in Microsoft Defender

La funzionalità di analisi degli script è disponibile nel portale di Microsoft Defender per i clienti che hanno effettuato il provisioning dell'accesso a Security Copilot.

L'analisi degli script è disponibile anche nell'esperienza autonoma Security Copilot tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Security Copilot.

Funzionalità principali

È possibile accedere alla funzionalità di analisi dello script all'interno della storia di attacco sotto il grafico degli eventi imprevisti in una pagina dell'evento imprevisto e nella sequenza temporale del dispositivo.

Per iniziare l'analisi, eseguire i seguenti passaggi:

  1. Aprire una pagina dell'evento imprevisto e quindi selezionare un elemento nel riquadro sinistro per aprire la storia di attacco sotto il grafico degli eventi imprevisti. All'interno della storia di attacco, selezionare un evento con uno script o una riga di comando da analizzare. Fare clic su Analizza per avviare l'analisi.

    Screenshot che mostra il pulsante di analisi dello script nella visualizzazione del brano di attacco.

    In alternativa, è possibile selezionare un evento da esaminare nella visualizzazione della sequenza temporale del dispositivo. Nel riquadro dei dettagli del file selezionare Analizza per eseguire la funzionalità di analisi degli script.

    Screenshot che mostra il pulsante Analizza nella sequenza temporale del dispositivo.

  2. Copilot esegue l'analisi degli script e visualizza i risultati nel riquadro Copilot. Selezionare Mostra codice per espandere lo script o Nascondi codice per chiudere l'espansione.

    Screenshot che evidenzia l'opzione mostra o nascondi il codice all'interno dei risultati dell'analisi dello script.

  3. Selezionare Mostra tecniche MITRE per visualizzare le tecniche MITRE ATT&CK associate allo script. Queste informazioni consentono di comprendere le tecniche usate dallo script e il modo in cui possono influire sull'ambiente. Selezionare Nascondi tecniche MITRE per chiudere l'espansione.

    Screenshot che evidenzia l'opzione mostra o nasconde le tecniche MITRE nei risultati dell'analisi dello script.

  4. Selezionare i puntini di sospensione Altre azioni (...) in alto a destra nella scheda di analisi dello script per copiare o rigenerare i risultati oppure visualizzare i risultati nell'esperienza autonoma Security Copilot. Selezionando Apri in Security Copilot viene aperta una nuova scheda per il portale autonomo copilot in cui è possibile immettere richieste e accedere ad altri plug-in.

    Screenshot che mostra l'opzione Altre azioni nella scheda di analisi script Copilot.

  5. Esaminare i risultati e usare le informazioni per guidare l'indagine e la risposta all'evento imprevisto.

Richiesta di analisi script di esempio

Nel portale autonomo Security Copilot è possibile usare il prompt seguente per identificare e analizzare gli script:

  • Identificare gli script nell'evento imprevisto di Defender {ID evento imprevisto}. Questi script dannosi sono?

Consiglio

Quando si analizzano gli script nel portale di Security Copilot, Microsoft consiglia di includere la parola Defender nelle richieste per assicurarsi che la funzionalità di analisi degli script fornisca i risultati.

Inviare feedback

Microsoft incoraggia vivamente l'utente a fornire feedback a Copilot, in quanto è fondamentale per il miglioramento continuo di una funzionalità. È possibile fornire commenti e suggerimenti sui risultati selezionando l'icona del feedback Screenshot dell'icona del feedback per Copilot nelle schede di Defender. Disponibile alla fine della scheda di analisi dello script.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.