Compartilhar via

Análise de script com o Microsoft Copilot no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Através das capacidades de investigação com tecnologia de IA de Microsoft Security Copilot no portal do Microsoft Defender, as equipas de segurança podem acelerar a análise de scripts maliciosos ou suspeitos e linhas de comandos.

Esse guia descreve o que é o recurso de análise de script e como ele funciona, incluindo como você pode fornecer comentários sobre os resultados gerados.

Antes de começar

Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler os seguintes artigos:

Os ataques mais complexos e sofisticados, como o ransomware, evitam a detecção de várias maneiras, incluindo o uso de scripts e linhas de comando do PowerShell. Além disso, esses scripts geralmente são ofuscados, o que aumenta a complexidade da detecção e da análise. As equipes de operações de segurança precisam analisar rapidamente os scripts para compreender os recursos e aplicar a mitigação adequada, impedindo imediatamente que os ataques avancem em uma rede.

O recurso de análise de scripts oferece às equipes de segurança maior capacidade de inspecionar scripts sem usar ferramentas externas. Essa funcionalidade também reduz a complexidade da análise, minimizando os desafios e permitindo que as equipes de segurança avaliem e identifiquem rapidamente um script como mal-intencionado ou benigno.

integração do Security Copilot no Microsoft Defender

A capacidade de análise de scripts está disponível no portal Microsoft Defender para clientes que tenham acesso a Security Copilot.

A análise de scripts também está disponível na experiência autónoma Security Copilot através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.

Principais recursos

Você pode acessar o recurso de análise de script na história do ataque, abaixo do gráfico do incidente em uma página de incidente e na linha do tempo do dispositivo.

Para iniciar a análise, execute as seguintes etapas:

  1. Abra uma página de incidente e selecione um item no painel esquerdo para abrir a história do ataque abaixo do gráfico do incidente. Na história do ataque, selecione um evento com um script ou linha de comando que você deseja analisar. Clique em Analisar para iniciar a análise.

    Captura de ecrã a mostrar o botão de análise de scripts na vista de história de ataque.

    Como alternativa, você pode selecionar um evento para inspecionar na visualização da linha do tempo do dispositivo. No painel de detalhes do arquivo, selecione Analisar para executar o recurso de análise de script.

    Captura de ecrã a mostrar o botão Analisar na linha do tempo do dispositivo.

  2. O Copilot executa a análise do script e exibe os resultados no painel Copilot. Selecione Mostrar código para expandir o script ou Ocultar código para fechar a expansão.

    Captura de ecrã que mostra o painel Copilot com os resultados da análise de scripts na página Microsoft Defender XDR incidente.

  3. Selecione as reticências mais ações (...) no canto superior direito da análise do script card para copiar ou regenerar os resultados ou ver os resultados na experiência autónoma Security Copilot. Selecionar Abrir no Security Copilot abre um novo separador para o portal autónomo do Copilot, onde pode introduzir pedidos e aceder a outros plug-ins.

    Captura de ecrã a mostrar a opção Mais ações no card de análise do script Copilot.

  4. Reveja os resultados e utilize as informações para orientar a investigação e a resposta ao incidente.

Pedido de análise de script de exemplo

No portal Security Copilot autónomo, pode utilizar a seguinte linha de comandos para identificar e analisar scripts:

  • Identifique os scripts no incidente do Defender {incident ID}. São scripts maliciosos?

Dica

Ao analisar scripts no portal Security Copilot, a Microsoft recomenda incluir a palavra Defender nas suas instruções para garantir que a capacidade de análise de scripts fornece os resultados.

Faça comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Você pode fornecer comentários sobre os resultados selecionando o ícone de comentários Captura de tela do ícone de comentários do Copilot nos cartões do Defender. encontrado no final do cartão de análise de script.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.