Análise de script com o Microsoft Copilot no Microsoft Defender
Através das capacidades de investigação com tecnologia de IA de Microsoft Security Copilot no portal do Microsoft Defender, as equipas de segurança podem acelerar a análise de scripts maliciosos ou suspeitos e linhas de comandos.
Esse guia descreve o que é o recurso de análise de script e como ele funciona, incluindo como você pode fornecer comentários sobre os resultados gerados.
Antes de começar
Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler os seguintes artigos:
- O que é Security Copilot?
- experiências de Security Copilot
- Introdução ao Copilot da Segurança
- Compreender a autenticação no Security Copilot
- Pedir em Security Copilot
Os ataques mais complexos e sofisticados, como o ransomware, evitam a detecção de várias maneiras, incluindo o uso de scripts e linhas de comando do PowerShell. Além disso, esses scripts geralmente são ofuscados, o que aumenta a complexidade da detecção e da análise. As equipes de operações de segurança precisam analisar rapidamente os scripts para compreender os recursos e aplicar a mitigação adequada, impedindo imediatamente que os ataques avancem em uma rede.
O recurso de análise de scripts oferece às equipes de segurança maior capacidade de inspecionar scripts sem usar ferramentas externas. Essa funcionalidade também reduz a complexidade da análise, minimizando os desafios e permitindo que as equipes de segurança avaliem e identifiquem rapidamente um script como mal-intencionado ou benigno.
integração do Security Copilot no Microsoft Defender
A capacidade de análise de scripts está disponível no portal Microsoft Defender para clientes que tenham acesso a Security Copilot.
A análise de scripts também está disponível na experiência autónoma Security Copilot através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.
Principais recursos
Você pode acessar o recurso de análise de script na história do ataque, abaixo do gráfico do incidente em uma página de incidente e na linha do tempo do dispositivo.
Para iniciar a análise, execute as seguintes etapas:
Abra uma página de incidente e selecione um item no painel esquerdo para abrir a história do ataque abaixo do gráfico do incidente. Na história do ataque, selecione um evento com um script ou linha de comando que você deseja analisar. Clique em Analisar para iniciar a análise.
Como alternativa, você pode selecionar um evento para inspecionar na visualização da linha do tempo do dispositivo. No painel de detalhes do arquivo, selecione Analisar para executar o recurso de análise de script.
O Copilot executa a análise do script e exibe os resultados no painel Copilot. Selecione Mostrar código para expandir o script ou Ocultar código para fechar a expansão.
Selecione Mostrar técnicas MITRE para ver as técnicas MITRE ATT&CK associadas ao script. Estas informações ajudam-no a compreender as técnicas utilizadas pelo script e como podem afetar o seu ambiente. Selecione Ocultar técnicas MITRE para fechar a expansão.
Selecione as reticências mais ações (...) no canto superior direito da análise do script card para copiar ou regenerar os resultados ou ver os resultados na experiência autónoma Security Copilot. Selecionar Abrir no Security Copilot abre um novo separador para o portal autónomo do Copilot, onde pode introduzir pedidos e aceder a outros plug-ins.
Reveja os resultados e utilize as informações para orientar a investigação e a resposta ao incidente.
Pedido de análise de script de exemplo
No portal Security Copilot autónomo, pode utilizar a seguinte linha de comandos para identificar e analisar scripts:
- Identifique os scripts no incidente do Defender {incident ID}. São scripts maliciosos?
Dica
Ao analisar scripts no portal Security Copilot, a Microsoft recomenda incluir a palavra Defender nas suas instruções para garantir que a capacidade de análise de scripts fornece os resultados.
Faça comentários
A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Você pode fornecer comentários sobre os resultados selecionando o ícone de comentários encontrado no final do cartão de análise de script.
Confira também
- Saiba mais sobre outras experiências inseridas do Copilot da Segurança
- Privacidade e segurança de dados no Copilot da Segurança
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.