Partilhar via


Análise de scripts com o Microsoft Copilot no Microsoft Defender

Através das capacidades de investigação com tecnologia de IA de Microsoft Security Copilot no portal do Microsoft Defender, as equipas de segurança podem acelerar a análise de scripts maliciosos ou suspeitos e linhas de comandos.

Este guia descreve o que é a capacidade de análise de scripts e como funciona, incluindo a forma como pode fornecer feedback sobre os resultados gerados.

Saiba antes de começar

Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler os seguintes artigos:

Os ataques mais complexos e sofisticados, como o ransomware , evitam a deteção de várias formas, incluindo a utilização de scripts e linhas de comandos do PowerShell. Além disso, estes scripts são frequentemente ofuscados, o que aumenta a complexidade da deteção e análise. As equipas de operações de segurança precisam de analisar rapidamente os scripts para compreender as capacidades e aplicar a mitigação adequada, impedindo imediatamente o progresso dos ataques numa rede.

A capacidade de análise de scripts fornece às equipas de segurança capacidade adicional para inspecionar scripts sem utilizar ferramentas externas. Esta capacidade também reduz a complexidade da análise, minimizando os desafios e permitindo que as equipas de segurança avaliem e identifiquem rapidamente um script como malicioso ou benigno.

integração do Security Copilot no Microsoft Defender

A capacidade de análise de scripts está disponível no portal Microsoft Defender para clientes que tenham acesso a Security Copilot.

A análise de scripts também está disponível na experiência autónoma Security Copilot através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.

Funcionalidades principais

Pode aceder à capacidade de análise de scripts no bloco de ataque abaixo do gráfico de incidentes numa página de incidente e na linha cronológica do dispositivo.

Para iniciar a análise, execute os seguintes passos:

  1. Abra uma página de incidente e, em seguida, selecione um item no painel esquerdo para abrir o bloco de ataque abaixo do gráfico de incidentes. Na história do ataque, selecione um evento com um script ou linha de comandos que pretende analisar. Clique em Analisar para iniciar a análise.

    Captura de ecrã a mostrar o botão de análise de scripts na vista de história de ataque.

    Em alternativa, pode selecionar um evento para inspecionar na vista de linha cronológica do dispositivo. No painel de detalhes do ficheiro, selecione Analisar para executar a capacidade de análise de scripts.

    Captura de ecrã a mostrar o botão Analisar na linha cronológica do dispositivo.

  2. O Copilot executa a análise de scripts e apresenta os resultados no painel Copilot. Selecione Mostrar código para expandir o script ou Ocultar código para fechar a expansão.

    Captura de ecrã a realçar a opção mostrar ou ocultar código nos resultados da análise de scripts.

  3. Selecione Mostrar técnicas MITRE para ver as técnicas MITRE ATT&CK associadas ao script. Estas informações ajudam-no a compreender as técnicas utilizadas pelo script e como podem afetar o seu ambiente. Selecione Ocultar técnicas MITRE para fechar a expansão.

    Captura de ecrã a realçar a opção mostrar ou ocultar técnicas MITRE nos resultados da análise do script.

  4. Selecione as reticências mais ações (...) no canto superior direito do cartão de análise de scripts para copiar ou regenerar os resultados ou ver os resultados na Security Copilot experiência autónoma. Selecionar Abrir no Security Copilot abre um novo separador para o portal autónomo do Copilot, onde pode introduzir pedidos e aceder a outros plug-ins.

    Captura de ecrã que mostra a opção Mais ações no cartão de análise de scripts Copilot.

  5. Reveja os resultados e utilize as informações para orientar a investigação e a resposta ao incidente.

Pedido de análise de script de exemplo

No portal Security Copilot autónomo, pode utilizar a seguinte linha de comandos para identificar e analisar scripts:

  • Identifique os scripts no incidente do Defender {incident ID}. São scripts maliciosos?

Sugestão

Ao analisar scripts no portal Security Copilot, a Microsoft recomenda incluir a palavra Defender nas suas instruções para garantir que a capacidade de análise de scripts fornece os resultados.

Fornecer comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Pode fornecer feedback sobre os resultados ao selecionar o ícone de feedback Captura de ecrã do ícone de feedback de Copilot nos cartões do Defender. Encontrado no final do cartão de análise de scripts.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.