Анализ файлов с помощью Microsoft Copilot в Microsoft Defender

Статья
11/19/2024
Применяется к:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot на портале Microsoft Defender позволяет группам безопасности быстро выявлять вредоносные и подозрительные файлы с помощью возможностей анализа файлов на основе ИИ.

Перед началом работы

Если вы не знакомы с Security Copilot, ознакомьтесь со следующими статьями:

Командам по обеспечению безопасности для отслеживания и устранения атак требуются инструменты и методы для быстрого анализа потенциально вредоносных файлов. При сложных атаках часто используются файлы, которые имитируют допустимые или системные файлы, чтобы избежать обнаружения. Кроме того, новым аналитикам безопасности может потребоваться время и значительный опыт для использования доступных средств и методов анализа.

Возможности анализа файлов Copilot в Defender снижают барьер для обучения анализу файлов, немедленно предоставляя надежные и полные результаты исследования файлов. Эта возможность позволяет аналитикам безопасности всех уровней завершать расследование с более коротким временем. Отчет содержит общие сведения о файле, сведения о его содержимом и сводку по оценке файла.

интеграция Security Copilot в Microsoft Defender

Возможность анализа файлов доступна в Microsoft Defender для клиентов, которые подготовили доступ к Security Copilot.

Security Copilot пользователи автономного портала также имеют возможность анализа файлов и другие возможности Defender XDR через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.

Основные возможности

Результаты анализа файлов, созданные Copilot, обычно содержат следующие сведения:

Обзор — содержит оценку файла, включая имя обнаружения, когда файл является вредоносным или потенциально нежелательным, важные сведения о файлах, такие как сертификаты и подписыватель, а также сводку содержимого файла, который участвует в оценке.
Сведения — выделяет строки, найденные в файле, перечисляет вызовы API , которые использует файл, и выводит сведения о соответствующих сертификатах файла.

Примечание.

Результаты анализа зависят от содержимого файла.

Доступ к возможности анализа файлов можно получить следующими способами:

Откройте страницу файла. Copilot автоматически создает анализ при открытии страницы файла. Результаты, в которых по умолчанию отображаются общие сведения, отображаются на панели Copilot.
Выберите Показать сведения (показано выше), чтобы отобразить полные результаты, или Скрыть сведения (выделенные ниже), чтобы свести к минимуму результаты.
На странице инцидента выберите файл для исследования в графе истории атаки . Вы также можете выбрать файл для изучения на странице оповещений. Выберите файл для исследования, а затем выберите Анализ на боковой панели, чтобы начать анализ. Затем результаты отображаются на панели Copilot.

Вы можете скопировать результаты в буфер обмена, повторно создать результаты или открыть портал Security Copilot, выбрав многоточие других действий (...) в верхней части карта анализа файлов.

Пример запроса на анализ файлов

На автономном портале Security Copilot можно использовать следующий запрос для создания сводки по устройству:

Расскажите о файлах в инциденте Defender {номер инцидента). Какие файлы являются вредоносными?

Совет

При изучении файлов на портале Security Copilot корпорация Майкрософт рекомендует включить слово Defender в запросы, чтобы обеспечить получение результатов с помощью функции анализа файлов.

Предоставление отзывов

Всегда проверяйте результаты, созданные Copilot в Defender. Ваши отзывы помогают улучшить качество результатов, созданных Copilot. Щелкните значок обратной связи Снимок экрана: значок отзыва для Copilot в карточках Defender в нижней части панели Copilot, чтобы отправить отзыв.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.

Поделиться через