Analiza skryptów za pomocą funkcji Microsoft Copilot w usłudze Microsoft Defender
Dzięki możliwościom badania opartym na sztucznej inteligencji z Microsoft Security Copilot w portalu Microsoft Defender zespoły zabezpieczeń mogą przyspieszyć analizę złośliwych lub podejrzanych skryptów i wierszy poleceń.
W tym przewodniku opisano możliwości analizy skryptów i sposób jej działania, w tym sposób przekazywania opinii na temat wygenerowanych wyników.
Przed rozpoczęciem
Jeśli dopiero zaczynasz Security Copilot, zapoznaj się z nim, czytając następujące artykuły:
- Co to jest Security Copilot?
- środowiska Security Copilot
- Wprowadzenie do funkcji Copilot rozwiązań zabezpieczających
- Omówienie uwierzytelniania w Security Copilot
- Monitowanie w Security Copilot
Najbardziej złożone i zaawansowane ataki, takie jak oprogramowanie ransomware, używają wielu różnych sposobów, w tym skryptów i programu PowerShell, aby uniknąć wykrycia. Ponadto te skrypty są często zaciemniane, co zwiększa złożoność wykrywania i analizy. Zespoły ds. operacji zabezpieczeń muszą szybko analizować skrypty, aby ocenić ich możliwości i zastosować odpowiednie środki zaradcze, natychmiast powstrzymując ataki przed dalszymi postępami w sieci.
Funkcja analizy skryptów zapewnia zespołom ds. zabezpieczeń dodatkowe możliwości inspekcji skryptów bez używania narzędzi zewnętrznych. Ta funkcja zmniejsza również złożoność analizy, minimalizuje wyzwania i umożliwia zespołom ds. zabezpieczeń szybkie ocenianie i identyfikowanie skryptu jako złośliwego lub nieszkodliwego.
integracja Security Copilot w Microsoft Defender
Funkcja analizy skryptów jest dostępna w portalu Microsoft Defender dla klientów, którzy aprowizowali dostęp do Security Copilot.
Analiza skryptów jest również dostępna w środowisku autonomicznym Security Copilot za pośrednictwem wtyczki Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.
Najważniejsze cechy
Możesz uzyskać dostęp do funkcji analizy skryptów w scenariuszu ataku poniżej wykresu zdarzenia na stronie zdarzenia i na osi czasu urządzenia.
Aby rozpocząć analizę, wykonaj następujące kroki:
Otwórz stronę zdarzenia, a następnie wybierz element w okienku po lewej stronie, aby otworzyć historię ataku poniżej wykresu zdarzenia. W historii ataku wybierz zdarzenie ze skryptem lub wierszem polecenia, które chcesz przeanalizować. Kliknij przycisk Analizuj, aby rozpocząć analizę.
Alternatywnie możesz wybrać zdarzenie do sprawdzenia w widoku osi czasu urządzenia. W okienku szczegółów pliku wybierz pozycję Analizuj, aby uruchomić funkcję analizy skryptu.
Funkcja Copilot uruchamia analizę skryptów i wyświetla wyniki w okienku Copilot. Wybierz pozycję Pokaż kod, aby rozwinąć skrypt, lub ukryj kod, aby zamknąć rozszerzenie.
Wybierz pozycję Pokaż techniki MITRE , aby wyświetlić techniki MITRE ATT&CK skojarzone ze skryptem. Te informacje ułatwiają zrozumienie technik używanych przez skrypt i ich wpływu na środowisko. Wybierz pozycję Ukryj techniki MITRE , aby zamknąć rozszerzenie.
Wybierz wielokropek Więcej akcji (...) w prawym górnym rogu karty analizy skryptów, aby skopiować lub ponownie wygenerować wyniki, lub wyświetl wyniki w środowisku autonomicznym Security Copilot. Wybranie pozycji Otwórz w Security Copilot powoduje otwarcie nowej karty w autonomicznym portalu Copilot, gdzie można wprowadzać monity i uzyskiwać dostęp do innych wtyczek.
Przejrzyj wyniki, korzystając z informacji, aby kierować badaniem i reagowaniem na zdarzenie.
Przykładowy monit o analizę skryptu
W Security Copilot autonomicznym portalu można użyć następującego monitu o zidentyfikowanie i przeanalizowanie skryptów:
- Zidentyfikuj skrypty w zdarzeniu usługi Defender {identyfikator zdarzenia}. Czy są to złośliwe skrypty?
Porada
Podczas analizowania skryptów w portalu Security Copilot firma Microsoft zaleca dołączenie słowa Defender w monitach, aby upewnić się, że funkcja analizy skryptów dostarcza wyniki.
Przekazywanie opinii
Firma Microsoft zdecydowanie zachęca do przekazywania opinii do rozwiązania Copilot, ponieważ jest to kluczowe dla ciągłego ulepszania możliwości. Możesz przekazać opinię na temat wyników, wybierając ikonę opinii znaleziono na końcu karty analizy skryptów.
Zobacz też
- Dowiedz się więcej o innych osadzonych środowiskach funkcji Copilot rozwiązań zabezpieczających
- Prywatność i zabezpieczenia danych w funkcji Copilot rozwiązań zabezpieczających
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.