Delen via

Scriptanalyse met Microsoft Copilot in Microsoft Defender

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Via door AI aangedreven onderzoeksmogelijkheden van Microsoft Security Copilot in de Microsoft Defender portal kunnen beveiligingsteams hun analyse van schadelijke of verdachte scripts en opdrachtregels versnellen.

In deze handleiding wordt beschreven wat de mogelijkheid voor scriptanalyse is en hoe deze werkt, inclusief hoe u feedback kunt geven over de gegenereerde resultaten.

Weet voordat u begint

Als u nog geen ervaring hebt met Security Copilot, moet u ermee vertrouwd raken door de volgende artikelen te lezen:

De meest complexe en geavanceerde aanvallen zoals ransomware detectie op talloze manieren omzeilen, waaronder het gebruik van scripts en PowerShell opdrachtregels. Bovendien zijn deze scripts vaak verborgen, wat de complexiteit van detectie en analyse toevoegt. Teams voor beveiligingsbewerkingen moeten snel scripts analyseren om inzicht te krijgen in de mogelijkheden en de juiste risicobeperking toe te passen, zodat aanvallen niet verder kunnen worden uitgevoerd binnen een netwerk.

De mogelijkheid voor scriptanalyse biedt beveiligingsteams extra capaciteit om scripts te inspecteren zonder externe hulpprogramma's te gebruiken. Deze mogelijkheid vermindert ook de complexiteit van analyses, minimaliseert uitdagingen en stelt beveiligingsteams in staat om een script snel te beoordelen en te identificeren als schadelijk of goedaardig.

Security Copilot integratie in Microsoft Defender

De mogelijkheid voor scriptanalyse is beschikbaar in de Microsoft Defender portal voor klanten die toegang hebben ingericht tot Security Copilot.

Scriptanalyse is ook beschikbaar in de zelfstandige Security Copilot-ervaring via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Security Copilot.

Belangrijkste functies

Je hebt toegang tot de mogelijkheid voor scriptanalyse in het aanvalsverhaal onder de incidentgrafiek op een incidentpagina en in de tijdlijn van het apparaat.

Voer de volgende stappen uit om de analyse te starten:

  1. Open een incidentpagina en selecteer vervolgens een item in het linkerdeelvenster om het aanvalsverhaal onder de incidentgrafiek te openen. Selecteer in het aanvalsverhaal een gebeurtenis met een script of opdrachtregel die je wilt analyseren. Klik op Analyseren om de analyse te starten.

    Schermopname van de knop Scriptanalyse in de weergave aanvalsverhaal.

    Je kunt ook een gebeurtenis selecteren die je wilt inspecteren in de tijdlijnweergave van het apparaat. Selecteer Analyseren in het deelvenster met bestandsdetails om de scriptanalysefunctie uit te voeren.

    Schermopname van de knop Analyseren in de tijdlijn van het apparaat.

  2. Copilot voert scriptanalyse uit en geeft de resultaten weer in het deelvenster Copilot. Selecteer Code weergeven om het script uit te vouwen of Code verbergen om de uitbreiding te sluiten.

    Schermopname van de optie code weergeven of verbergen in de resultaten van de scriptanalyse.

  3. Selecteer MITRE-technieken weergeven om de MITRE ATT-&CK-technieken weer te geven die aan het script zijn gekoppeld. Deze informatie helpt u inzicht te krijgt in de technieken die door het script worden gebruikt en hoe dit van invloed kan zijn op uw omgeving. Selecteer MITRE-technieken verbergen om de uitbreiding te sluiten.

    Schermopname van de optie MITRE-technieken weergeven of verbergen in de resultaten van de scriptanalyse.

  4. Selecteer het beletselteken Meer acties (...) in de rechterbovenhoek van de kaart scriptanalyse om de resultaten te kopiëren of opnieuw te genereren, of bekijk de resultaten in de Security Copilot zelfstandige ervaring. Als u Openen selecteert in Security Copilot wordt een nieuw tabblad geopend in de zelfstandige Copilot-portal, waar u prompts kunt invoeren en andere invoegtoepassingen kunt openen.

    Schermopname van de optie Meer acties in de kaart Copilot-scriptanalyse.

  5. Bekijk de resultaten en gebruik de informatie om uw onderzoek en reactie op het incident te begeleiden.

Voorbeeldprompt voor scriptanalyse

In de Security Copilot zelfstandige portal kunt u de volgende prompt gebruiken om scripts te identificeren en te analyseren:

  • Identificeer de scripts in Defender-incident {incident-id}. Zijn dit schadelijke scripts?

Tip

Bij het analyseren van scripts in de Security Copilot-portal raadt Microsoft aan het woord Defender op te slaan in uw prompts om ervoor te zorgen dat de scriptanalyse de resultaten levert.

Feedback geven

Microsoft raadt u ten zeerste aan om feedback te geven aan Copilot, omdat dit van cruciaal belang is voor de continue verbetering van de mogelijkheden. Je kunt feedback geven over de resultaten door het feedbackpictogram te selecteren Schermopname van het feedbackpictogram voor Copilot in Defender-kaarten. gevonden aan het einde van de scriptanalysekaart.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.