在 Microsoft Defender 中使用 Microsoft Copilot 进行文件分析
Microsoft Defender门户中的Microsoft Security Copilot使安全团队能够通过 AI 支持的文件分析功能快速识别恶意文件和可疑文件。
在开始之前了解
如果你不熟悉Security Copilot,应阅读以下文章来熟悉它:
跟踪和解决攻击的安全操作团队需要工具和技术来快速分析潜在的恶意文件。 复杂的攻击通常会使用模拟合法文件或系统文件的文件来避免检测。 此外,新的现场安全分析师可能需要时间并和丰富的经验来使用现有的分析工具和技术。
Defender 中 Copilot 的文件分析功能通过立即提供可靠且完整的文件调查结果,降低了学习文件分析的障碍。 此功能使所有级别的安全分析师能够在更短的周转时间内完成调查。 报表包括文件概述、文件内容的详细信息以及文件评估的摘要。
Microsoft Defender 中的Security Copilot集成
文件分析功能在 Microsoft Defender 中可供具有Security Copilot预配访问权限的客户使用。
Security Copilot独立门户用户还通过 Microsoft Defender XDR 插件具有文件分析功能和其他Defender XDR功能。 详细了解 Security Copilot 中的预安装插件。
关键功能
Copilot 生成的文件分析结果通常包含以下信息:
- 概述 - 包含对文件的评估,其中包括当文件是恶意/可能不需要的文件时的检测名称、证书和签名者等重要文件信息,以及参与评估的文件内容的摘要。
- 详细信息 - 突出显示在文件中找到的字符串,列出文件使用的 API 调用,并列出文件的相关证书的信息。
注意
分析结果因文件内容而异。
可以通过以下方式访问文件分析功能:
- 打开文件页。 Copilot 会在打开文件页时自动生成分析。 结果默认显示概述信息,然后显示在 Copilot 窗格中。
选择“显示详细信息”(如上所示)以显示完整结果或隐藏详细信息(在下方突出显示),以最小化结果。
- 在事件页中,选择要在攻击情景图中调查的文件。 还可以选择要在警报页中调查的文件。
选择要调查的文件,然后在侧窗格中选择“ 分析 ”以开始分析。 随后,结果将显示在 Copilot 窗格上。
可以通过选择文件分析卡顶部的“更多操作”省略号 (...) ,将结果复制到剪贴板、重新生成结果或打开Security Copilot门户。
示例文件分析提示
在Security Copilot独立门户中,可以使用以下提示生成设备摘要:
- 告诉我有关 Defender 事件 {事件编号) 中的文件。 哪些文件是恶意文件?
提示
在Security Copilot门户中调查文件时,Microsoft建议在提示中包含“Defender”一词,以确保文件分析功能提供结果。
提供反馈
始终在 Defender 中查看 Copilot 生成的结果。 你的反馈有助于提高 Copilot 生成的结果的质量。 选择在 Copilot 窗格底部的反馈图标 
,以提供反馈。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。