Поделиться через

Анализ скриптов с помощью Microsoft Copilot в Microsoft Defender

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

С помощью возможностей исследования на основе ИИ из Microsoft Security Copilot на портале Microsoft Defender команды безопасности могут ускорить анализ вредоносных или подозрительных сценариев и командных строк.

В этом руководстве описывается, что такое возможность анализа сценариев и как она работает, в том числе как можно предоставить отзыв о полученных результатах.

Перед началом работы

Если вы не знакомы с Security Copilot, ознакомьтесь со следующими статьями:

Наиболее сложные и изощренные атаки, такие как программы-шантажисты, ускользают от обнаружения множеством способов, включая использование скриптов и командных строк PowerShell. Более того, эти сценарии часто запутаны, что усложняет их обнаружение и анализ. Группам безопасности необходимо быстро анализировать скрипты и коды, чтобы оценить последствия и применить соответствующие меры по устранению рисков, немедленно останавливая дальнейшее развитие атак внутри сети.

Возможность анализа скриптов предоставляет группам безопасности дополнительные возможности для проверки скриптов без использования внешних инструментов. Эта возможность также снижает сложность анализа, сводя к минимуму проблемы и позволяя группам безопасности быстро оценить и идентифицировать сценарий как вредоносный или безопасный.

интеграция Security Copilot в Microsoft Defender

Возможность анализа скриптов доступна на портале Microsoft Defender для клиентов, которые подготовили доступ к Security Copilot.

Анализ скриптов также доступен в автономном интерфейсе Security Copilot с помощью подключаемого модуля Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.

Основные возможности

Доступ к функции анализа скриптов можно получить в истории атаки под графом инцидентов на странице инцидента и на временной шкале устройства.

Чтобы начать анализ, выполните следующие действия.

  1. Откройте страницу инцидента, а затем выберите элемент на панели слева, чтобы открыть историю атаки под графиком инцидентов. В истории атаки выберите событие со скриптом или командной строкой, которое требуется проанализировать. Нажмите кнопку Анализ, чтобы начать анализ.

    Снимок экрана: кнопка

    Кроме того, можно выбрать событие для проверки в представлении временной шкалы устройства. В области сведений о файле выберите Анализ, чтобы запустить возможность анализа скрипта.

    Снимок экрана: кнопка

  2. Copilot выполняет анализ скрипта и показывает результаты в панели Copilot. Выберите Показать код, чтобы развернуть скрипт, или Скрыть код, чтобы снова свернуть его.

    Снимок экрана: выделение параметра показать или скрыть код в результатах анализа скрипта.

  3. Выберите Показать методы MITRE , чтобы просмотреть методы MITRE ATT&CK, связанные со скриптом. Эти сведения помогут вам понять методы, используемые скриптом, и как они могут повлиять на вашу среду. Выберите Скрыть методы MITRE , чтобы закрыть расширение.

    Снимок экрана: выделение параметра показать или скрыть методы MITRE в результатах анализа скрипта.

  4. Щелкните многоточие других действий (...) в правом верхнем углу карта анализа скрипта, чтобы скопировать или повторно создать результаты, или просмотреть результаты в автономном интерфейсе Security Copilot. Если выбрать Открыть в Security Copilot, откроется новая вкладка на автономном портале Copilot, где можно вводить запросы и получать доступ к другим подключаемым модулям.

    Снимок экрана: параметр Дополнительные действия в карта анализа скрипта Copilot.

  5. Просмотрите результаты и используйте информацию, чтобы помочь в расследовании и реагировании на инцидент.

Пример запроса на анализ скрипта

На автономном портале Security Copilot можно использовать следующие запросы для определения и анализа скриптов:

  • Определите скрипты в инциденте Defender {идентификатор инцидента}. Это вредоносные скрипты?

Совет

При анализе скриптов на портале Security Copilot корпорация Майкрософт рекомендует включить слово Defender в запросы, чтобы обеспечить получение результатов с помощью функции анализа скриптов.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Вы можете отправить отзыв о результатах, выбрав значок обратной связи Снимок экрана: значок обратной связи для Copilot в карточках Defender, который находится в конце карточки анализа скрипта.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.