Microsoft Defender での Microsoft Copilot によるスクリプト分析
適用対象:
- Microsoft Defender XDR
- Microsoft Defender 統合セキュリティ オペレーション センター (SOC) プラットフォーム
Microsoft Defender ポータルの Microsoft Copilot for Security の AI を利用した調査機能を通じて、セキュリティ チームは悪意のあるスクリプトや疑わしいスクリプトやコマンド ラインの分析を高速化できます。
ランサムウェアのような最も複雑で高度な攻撃は、スクリプトや PowerShell コマンド ラインの使用など、さまざまな方法で検出を回避します。 さらに、これらのスクリプトは難読化されることが多いため、検出と分析の複雑さが増します。 セキュリティ運用チームは、スクリプトを迅速に分析して機能を理解し、適切な軽減策を適用し、攻撃がネットワーク内でさらに進行するのを直ちに停止する必要があります。
スクリプト分析機能により、セキュリティ チームは、外部ツールを使用せずにスクリプトを検査する容量を追加できます。 また、この機能により、分析の複雑さが軽減され、課題が最小限に抑えられます。また、セキュリティ チームは、スクリプトを悪意のあるスクリプトまたは無害なスクリプトとして迅速に評価して識別できるようになります。 スクリプト分析は、Microsoft Defender XDR プラグインを通じて Copilot for Security スタンドアロン エクスペリエンスでも使用できます。 Copilot for Security にプレインストールされているプラグインの詳細を確認してください。
このガイドでは、スクリプト分析機能とそのしくみについて説明します。生成された結果に関するフィードバックを提供する方法も含まれます。
スクリプトを分析する
インシデント ページと デバイス タイムラインのインシデント グラフの下にある攻撃ストーリー内のスクリプト分析機能にアクセスできます。
分析を開始するには、次の手順を実行します。
インシデント ページを開き、左側のウィンドウで項目を選択して、インシデント グラフの下にある攻撃ストーリーを開きます。 攻撃ストーリー内で、分析するスクリプトまたはコマンド ラインを含むイベントを選択します。 [ 分析 ] をクリックして分析を開始します。
または、デバイス タイムライン ビューで検査するイベントを選択することもできます。 ファイルの詳細ウィンドウで、[ 分析 ] を選択してスクリプト分析機能を実行します。
Copilot はスクリプト分析を実行し、結果を Copilot ペインに表示します。 [ コードの表示 ] を選択してスクリプトを展開し、展開を閉じるには [コードを非表示にする] を選択します。
スクリプト分析カードの右上にある [ その他のアクション ] 省略記号 (...) を選択して結果をコピーまたは再生成するか、Copilot for Security スタンドアロン エクスペリエンスで結果を表示します。 [ セキュリティで Copilot で開く ] を選択すると、Copilot スタンドアロン ポータルに新しいタブが開き、プロンプトを入力して他のプラグインにアクセスできます。
結果を確認します。 [フィードバック] アイコン ] を選択すると、結果に関するフィードバックを提供できます。スクリプト分析カードの最後にあります。
関連項目
- ファイルを分析する
- デバイスの概要を生成する
- ガイド付き応答を使用してインシデントに対応する
- KQL クエリを生成する
- インシデント レポートを作成する
- Microsoft Copilot for Security の使用を開始する
- セキュリティ埋め込みエクスペリエンスのためのその他の Copilot について学習する
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。