Dela via

Skriptanalys med Microsoft Copilot i Microsoft Defender

  • Artikel
  • Gäller för:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Med hjälp av AI-baserade undersökningsfunktioner från Microsoft Security Copilot i Microsoft Defender-portalen kan säkerhetsteam påskynda analysen av skadliga eller misstänkta skript och kommandorader.

Den här guiden beskriver vad funktionen för skriptanalys är och hur den fungerar, inklusive hur du kan ge feedback om de resultat som genereras.

Ha kunskap innan du börjar

Om du inte har Security Copilot tidigare bör du bekanta dig med det genom att läsa följande artiklar:

De flesta komplexa och sofistikerade attacker som utpressningstrojaner undviker identifiering på flera olika sätt, inklusive användning av skript och PowerShell-kommandorader. Dessutom är dessa skript ofta dolda, vilket ökar komplexiteten i identifiering och analys. Säkerhetsteam måste snabbt analysera skript för att förstå funktioner och tillämpa lämpliga åtgärder för att omedelbart hindra attackerna från att ta sig vidare inom ett nätverk.

Skriptanalysfunktionen ger säkerhetsteam ökad kapacitet för att inspektera skript utan att använda externa verktyg. Den här funktionen minskar också komplexiteten i analys, minimerar utmaningar och gör det möjligt för säkerhetsteam att snabbt utvärdera och identifiera ett skript som skadligt eller ofarligt.

Security Copilot integrering i Microsoft Defender

Skriptanalysfunktionen är tillgänglig i Microsoft Defender-portalen för kunder som har etablerat åtkomst till Security Copilot.

Skriptanalys är också tillgängligt i Security Copilot fristående upplevelse via Microsoft Defender XDR plugin-programmet. Läs mer om förinstallerade plugin-program i Security Copilot.

Nyckelfunktioner

Du kan komma åt skriptanalysfunktionen i attackberättelsen under incidentdiagrammet på en incidentsida och på enhetens tidslinje.

Utför följande steg för att påbörja analysen:

  1. Öppna en incidentsida och välj sedan ett objekt i den vänstra rutan för att öppna attackberättelsen under incidentdiagrammet. I attackberättelsen väljer du en händelse med ett skript eller en kommandorad som du vill analysera. Klicka på Analysera för att starta analysen.

    Skärmbild som visar knappen för skriptanalys i vyn attackberättelse.

    Alternativt kan du välja en händelse att inspektera i enhetens tidslinjevy. I fönstret Filinformation väljer du Analysera för att köra skriptanalysfunktionen.

    Skärmbild som visar knappen Analysera på enhetens tidslinje.

  2. Copilot kör skriptanalys och visar resultatet i Copilot-fönstret. Välj Visa kod för att expandera skriptet eller Dölj kod för att stänga expansionen.

    Skärmbild som visar alternativet visa eller dölj kod i skriptanalysresultatet.

  3. Välj Visa MITRE-tekniker för att visa MITRE ATT&CK-tekniker som är associerade med skriptet. Den här informationen hjälper dig att förstå de tekniker som används av skriptet och hur det kan påverka din miljö. Välj Dölj MITRE-tekniker för att stänga expansionen.

    Skärmbild som markerar alternativet visa eller dölja MITRE-tekniker i skriptanalysresultatet.

  4. Välj ellipsen Fler åtgärder (...) längst upp till höger på skriptanalyskortet för att kopiera eller återskapa resultaten, eller visa resultatet i den Security Copilot fristående upplevelsen. Om du väljer Öppna i Security Copilot öppnas en ny flik i den fristående Copilot-portalen där du kan ange frågor och komma åt andra plugin-program.

    Skärmbild som visar alternativet Fler åtgärder i copilot-skriptanalyskortet.

  5. Granska resultaten med hjälp av informationen för att vägleda din undersökning och ditt svar på incidenten.

Exempel på fråga om skriptanalys

I Security Copilot fristående portalen kan du använda följande prompt för att identifiera och analysera skript:

  • Identifiera skripten i Defender-incidenten {incident-ID}. Är dessa skadliga skript?

Tips

När du analyserar skript i Security Copilot-portalen rekommenderar Microsoft att du inkluderar ordet Defender i dina uppmaningar för att säkerställa att skriptanalysfunktionen levererar resultaten.

Ge feedback

Microsoft uppmuntrar dig starkt att ge feedback till Copilot, eftersom det är avgörande för en funktions kontinuerliga förbättring. Du kan ge feedback om resultaten genom att välja feedbackikonen Skärmbild av feedbackikonen för Copilot i Defender-kort. i slutet av skriptanalyskortet.

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.