Análise de scripts com o Microsoft Copilot no Microsoft Defender
Através das capacidades de investigação com tecnologia de IA de Microsoft Security Copilot no portal do Microsoft Defender, as equipas de segurança podem acelerar a análise de scripts maliciosos ou suspeitos e linhas de comandos.
Este guia descreve o que é a capacidade de análise de scripts e como funciona, incluindo a forma como pode fornecer feedback sobre os resultados gerados.
Saiba antes de começar
Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler os seguintes artigos:
- O que é Security Copilot?
- experiências de Security Copilot
- Introdução ao Security Copilot
- Compreender a autenticação no Security Copilot
- Pedir em Security Copilot
Os ataques mais complexos e sofisticados, como o ransomware , evitam a deteção de várias formas, incluindo a utilização de scripts e linhas de comandos do PowerShell. Além disso, estes scripts são frequentemente ofuscados, o que aumenta a complexidade da deteção e análise. As equipas de operações de segurança precisam de analisar rapidamente os scripts para compreender as capacidades e aplicar a mitigação adequada, impedindo imediatamente o progresso dos ataques numa rede.
A capacidade de análise de scripts fornece às equipas de segurança capacidade adicional para inspecionar scripts sem utilizar ferramentas externas. Esta capacidade também reduz a complexidade da análise, minimizando os desafios e permitindo que as equipas de segurança avaliem e identifiquem rapidamente um script como malicioso ou benigno.
integração do Security Copilot no Microsoft Defender
A capacidade de análise de scripts está disponível no portal Microsoft Defender para clientes que tenham acesso a Security Copilot.
A análise de scripts também está disponível na experiência autónoma Security Copilot através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.
Funcionalidades principais
Pode aceder à capacidade de análise de scripts no bloco de ataque abaixo do gráfico de incidentes numa página de incidente e na linha cronológica do dispositivo.
Para iniciar a análise, execute os seguintes passos:
Abra uma página de incidente e, em seguida, selecione um item no painel esquerdo para abrir o bloco de ataque abaixo do gráfico de incidentes. Na história do ataque, selecione um evento com um script ou linha de comandos que pretende analisar. Clique em Analisar para iniciar a análise.
Em alternativa, pode selecionar um evento para inspecionar na vista de linha cronológica do dispositivo. No painel de detalhes do ficheiro, selecione Analisar para executar a capacidade de análise de scripts.
O Copilot executa a análise de scripts e apresenta os resultados no painel Copilot. Selecione Mostrar código para expandir o script ou Ocultar código para fechar a expansão.
Selecione Mostrar técnicas MITRE para ver as técnicas MITRE ATT&CK associadas ao script. Estas informações ajudam-no a compreender as técnicas utilizadas pelo script e como podem afetar o seu ambiente. Selecione Ocultar técnicas MITRE para fechar a expansão.
Selecione as reticências mais ações (...) no canto superior direito do cartão de análise de scripts para copiar ou regenerar os resultados ou ver os resultados na Security Copilot experiência autónoma. Selecionar Abrir no Security Copilot abre um novo separador para o portal autónomo do Copilot, onde pode introduzir pedidos e aceder a outros plug-ins.
Reveja os resultados e utilize as informações para orientar a investigação e a resposta ao incidente.
Pedido de análise de script de exemplo
No portal Security Copilot autónomo, pode utilizar a seguinte linha de comandos para identificar e analisar scripts:
- Identifique os scripts no incidente do Defender {incident ID}. São scripts maliciosos?
Sugestão
Ao analisar scripts no portal Security Copilot, a Microsoft recomenda incluir a palavra Defender nas suas instruções para garantir que a capacidade de análise de scripts fornece os resultados.
Fornecer comentários
A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Pode fornecer feedback sobre os resultados ao selecionar o ícone de feedback Encontrado no final do cartão de análise de scripts.
Consulte também
- Saiba mais sobre outras experiências incorporadas do Security Copilot
- Privacidade e segurança de dados no Security Copilot
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.