Udostępnij za pośrednictwem


Analiza skryptów za pomocą funkcji Microsoft Copilot w usłudze Microsoft Defender

Dzięki możliwościom badania opartym na sztucznej inteligencji z Microsoft Security Copilot w portalu Microsoft Defender zespoły zabezpieczeń mogą przyspieszyć analizę złośliwych lub podejrzanych skryptów i wierszy poleceń.

W tym przewodniku opisano możliwości analizy skryptów i sposób jej działania, w tym sposób przekazywania opinii na temat wygenerowanych wyników.

Przed rozpoczęciem

Jeśli dopiero zaczynasz Security Copilot, zapoznaj się z nim, czytając następujące artykuły:

Najbardziej złożone i zaawansowane ataki, takie jak oprogramowanie ransomware, używają wielu różnych sposobów, w tym skryptów i programu PowerShell, aby uniknąć wykrycia. Ponadto te skrypty są często zaciemniane, co zwiększa złożoność wykrywania i analizy. Zespoły ds. operacji zabezpieczeń muszą szybko analizować skrypty, aby ocenić ich możliwości i zastosować odpowiednie środki zaradcze, natychmiast powstrzymując ataki przed dalszymi postępami w sieci.

Funkcja analizy skryptów zapewnia zespołom ds. zabezpieczeń dodatkowe możliwości inspekcji skryptów bez używania narzędzi zewnętrznych. Ta funkcja zmniejsza również złożoność analizy, minimalizuje wyzwania i umożliwia zespołom ds. zabezpieczeń szybkie ocenianie i identyfikowanie skryptu jako złośliwego lub nieszkodliwego.

integracja Security Copilot w Microsoft Defender

Funkcja analizy skryptów jest dostępna w portalu Microsoft Defender dla klientów, którzy aprowizowali dostęp do Security Copilot.

Analiza skryptów jest również dostępna w środowisku autonomicznym Security Copilot za pośrednictwem wtyczki Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.

Najważniejsze cechy

Możesz uzyskać dostęp do funkcji analizy skryptów w scenariuszu ataku poniżej wykresu zdarzenia na stronie zdarzenia i na osi czasu urządzenia.

Aby rozpocząć analizę, wykonaj następujące kroki:

  1. Otwórz stronę zdarzenia, a następnie wybierz element w okienku po lewej stronie, aby otworzyć historię ataku poniżej wykresu zdarzenia. W historii ataku wybierz zdarzenie ze skryptem lub wierszem polecenia, które chcesz przeanalizować. Kliknij przycisk Analizuj, aby rozpocząć analizę.

    Zrzut ekranu przedstawiający przycisk analizy skryptu w widoku scenariusza ataku.

    Alternatywnie możesz wybrać zdarzenie do sprawdzenia w widoku osi czasu urządzenia. W okienku szczegółów pliku wybierz pozycję Analizuj, aby uruchomić funkcję analizy skryptu.

    Zrzut ekranu przedstawiający przycisk Analizuj na osi czasu urządzenia.

  2. Funkcja Copilot uruchamia analizę skryptów i wyświetla wyniki w okienku Copilot. Wybierz pozycję Pokaż kod, aby rozwinąć skrypt, lub ukryj kod, aby zamknąć rozszerzenie.

    Zrzut ekranu przedstawiający opcję pokaż lub ukryj kod w wynikach analizy skryptu.

  3. Wybierz pozycję Pokaż techniki MITRE , aby wyświetlić techniki MITRE ATT&CK skojarzone ze skryptem. Te informacje ułatwiają zrozumienie technik używanych przez skrypt i ich wpływu na środowisko. Wybierz pozycję Ukryj techniki MITRE , aby zamknąć rozszerzenie.

    Zrzut ekranu przedstawiający opcję pokaż lub ukryj techniki MITRE w wynikach analizy skryptów.

  4. Wybierz wielokropek Więcej akcji (...) w prawym górnym rogu karty analizy skryptów, aby skopiować lub ponownie wygenerować wyniki, lub wyświetl wyniki w środowisku autonomicznym Security Copilot. Wybranie pozycji Otwórz w Security Copilot powoduje otwarcie nowej karty w autonomicznym portalu Copilot, gdzie można wprowadzać monity i uzyskiwać dostęp do innych wtyczek.

    Zrzut ekranu przedstawiający opcję Więcej akcji na karcie Analiza skryptów Copilot.

  5. Przejrzyj wyniki, korzystając z informacji, aby kierować badaniem i reagowaniem na zdarzenie.

Przykładowy monit o analizę skryptu

W Security Copilot autonomicznym portalu można użyć następującego monitu o zidentyfikowanie i przeanalizowanie skryptów:

  • Zidentyfikuj skrypty w zdarzeniu usługi Defender {identyfikator zdarzenia}. Czy są to złośliwe skrypty?

Porada

Podczas analizowania skryptów w portalu Security Copilot firma Microsoft zaleca dołączenie słowa Defender w monitach, aby upewnić się, że funkcja analizy skryptów dostarcza wyniki.

Przekazywanie opinii

Firma Microsoft zdecydowanie zachęca do przekazywania opinii do rozwiązania Copilot, ponieważ jest to kluczowe dla ciągłego ulepszania możliwości. Możesz przekazać opinię na temat wyników, wybierając ikonę opinii Zrzut ekranu przedstawiający ikonę opinii dla funkcji Copilot na kartach usługi Defender. znaleziono na końcu karty analizy skryptów.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.