Del via

Skriptanalyse med Microsoft Copilot i Microsoft Defender

  • Artikkel
  • Gjelder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Gjennom ai-drevne undersøkelsesfunksjoner fra Microsoft Security Copilot i Microsoft Defender-portalen kan sikkerhetsteam øke hastigheten på analysen av skadelige eller mistenkelige skript og kommandolinjer.

Denne veiledningen beskriver hva skriptanalysefunksjonen er og hvordan den fungerer, inkludert hvordan du kan gi tilbakemelding om resultatene som genereres.

Vit om før du begynner

Hvis du ikke har brukt Security Copilot før, bør du gjøre deg kjent med den ved å lese følgende artikler:

De fleste komplekse og sofistikerte angrep som løsepengevirus unngår deteksjon gjennom mange måter, inkludert bruk av skript og PowerShell-kommandolinjer. I tillegg er disse skriptene ofte obfuskert, noe som legger til kompleksiteten ved gjenkjenning og analyse. Sikkerhetsoperasjonsteam må raskt analysere skript for å forstå funksjoner og bruke passende begrensninger, og umiddelbart stoppe angrep fra å utvikle seg videre i et nettverk.

Skriptanalysefunksjonen til Sikkerhet Copilot i Microsoft Defender XDR gir sikkerhetsteamene ekstra kapasitet til å undersøke skript uten å bruke eksterne verktøy. Denne funksjonen reduserer også kompleksiteten i analysen, minimerer utfordringer og gjør det mulig for sikkerhetsteam å raskt vurdere og identifisere et skript som ondsinnet eller godartet.

Security Copilot integrering i Microsoft Defender

Skriptanalysefunksjonen er tilgjengelig i Microsoft Defender-portalen for kunder som har klargjort tilgang til Security Copilot.

Skriptanalyse er også tilgjengelig i Security Copilot frittstående opplevelse gjennom plugin-modulen for Microsoft Defender XDR. Finn ut mer om forhåndsinstallerte programtillegg i Security Copilot.

Nøkkelfunksjoner

Du kan få tilgang til skriptanalysefunksjonen i angrepshistorien under hendelsesgrafen på en hendelsesside og på enhetens tidslinje.

Utfør følgende trinn for å begynne analysen:

  1. Åpne en hendelsesside, og velg deretter et element i ruten til venstre for å åpne angrepshistorien under hendelsesgrafen. I angrepshistorien velger du en hendelse med et skript eller en kommandolinje som du vil analysere. Klikk på Analyser for å starte analysen.

    Skjermbilde som viser skriptanalyseknappen i visningen for angrepshistorien.

    Alternativt kan du velge en hendelse som skal undersøkes i enhetens tidslinjevisning. Velg Analyser i fildetaljerruten for å kjøre skriptanalysefunksjonen.

    Skjermbilde som viser Analyser-knappen på enhetens tidslinje.

  2. Copilot kjører skriptanalyse og viser resultatene i Copilot-ruten. Velg Vis kode for å utvide skriptet, eller Skjul kode for å lukke utvidelsen.

    Skjermbilde som uthever alternativet vis eller skjul kode i skriptanalyseresultatene.

  3. Velg Vis MITRE-teknikker for å vise MITRE ATT-&CK-teknikker som er knyttet til skriptet. Denne informasjonen hjelper deg med å forstå teknikkene som brukes av skriptet, og hvordan det kan påvirke miljøet ditt. Velg Skjul MITRE-teknikker for å lukke utvidelsen.

    Skjermbilde som uthever alternativet Vis eller skjul MITRE-teknikker i skriptanalyseresultatene.

  4. Velg Flere handlinger-ellipsen (...) øverst til høyre på skriptanalysekortet for å kopiere eller generere resultatene på nytt, eller vis resultatene i den Security Copilot frittstående opplevelsen. Hvis du velger Åpne i Security Copilot åpnes en ny fane i den frittstående Copilot-portalen, der du kan angi ledetekster og få tilgang til andre programtillegg.

    Skjermbilde som viser alternativet Flere handlinger i Copilot-skriptanalysekortet.

  5. Se gjennom resultatene ved å bruke informasjonen til å veilede etterforskningen og responsen på hendelsen.

Eksempel på spørsmål om skriptanalyse

I den Security Copilot frittstående portalen kan du bruke følgende ledetekst til å identifisere og analysere skript:

  • Identifiser skriptene i Defender-hendelsen {incident ID}. Er disse ondsinnede skriptene?

Tips

Når du analyserer skript i Security Copilot-portalen, anbefaler Microsoft å inkludere ordet Defender i instruksjonene for å sikre at skriptanalysefunksjonen leverer resultatene.

Gi tilbakemelding

Microsoft oppfordrer deg sterkt til å gi tilbakemelding til Copilot, da det er avgjørende for en funksjons kontinuerlig forbedring. Du kan gi tilbakemelding på resultatene ved å velge tilbakemeldingsikonet Skjermbilde av tilbakemeldingsikonet for Copilot i Defender-kort. funnet på slutten av skriptanalysekortet.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.