使用 Microsoft Defender 中的 Microsoft Copilot 進行指令碼分析
透過來自 Microsoft Defender 入口網站中 Microsoft Security Copilot 的 AI 支援調查功能,安全性小組可以加速分析惡意或可疑的腳本和命令行。
本指南說明什麼是指令碼分析功能及其運作方式,包括您可以如何針對產生的結果提供意見反應。
開始之前的須知事項
如果您不熟悉 Security Copilot,請閱讀下列文章來熟悉它:
- 什麼是 Security Copilot?
- Security Copilot 體驗
- 開始使用安全性 Copilot
- 瞭解 Security Copilot 中的驗證
- 在 Security Copilot 中提示
大多數複雜且繁複的攻擊 (例如 勒索軟體) 會透過多種方式 (包括使用指令碼和 PowerShell 命令行) 來避免偵測。 此外,這些指令碼通常被模糊化,這也增加了偵測和分析的複雜性。 安全性作業小組需要快速分析指令碼,以瞭解功能並套用適當的緩和措施,立即阻止攻擊在網路中進一步展開。
指令碼分析功能提供安全性小組新增功能,以在不需要使用外部工具的情況下,檢查指令碼。 此功能也可降低分析的複雜性,將挑戰減到最小,並允許安全性小組快速評估指令碼,並識別指令碼為惡意或良性。
Microsoft Defender中的 Security Copilot整合
腳本分析功能可在 Microsoft Defender 入口網站中供已布建存取 Security Copilot 的客戶使用。
透過 Microsoft Defender 全面偵測回應 外掛程式,腳本分析也可在 Security Copilot 獨立體驗中使用。 深入瞭解 Security Copilot 中預安裝的外掛程式。
重點功能
您可以在事件頁面上和 裝置時間軸 中的事件圖表下方的攻擊故事存取指令碼分析功能。
若要開始分析,請執行下列步驟:
開啟事件頁面,然後選取左窗格上的項目,以開啟事件圖表下方的攻擊故事。 在攻擊故事中,選取具有您要分析之指令碼或命令行的事件。 點擊 [分析] 以開始分析。
或者,您可以選取要在裝置時間表檢視中檢查的事件。 在 [檔案詳細資料] 窗格中,選取 [分析] 以執行指令碼分析功能。
Copilot 會執行指令碼分析,並在 [Copilot] 窗格中顯示結果。 選取 [顯示程式碼] 以展開指令碼,或選取 [隱藏程式碼] 以關閉展開。
選 取 [顯示 MITRE 技術 ] 以檢視與腳本相關聯的 MITRE ATT&CK 技術。 此資訊可協助您瞭解文本所使用的技術,以及其如何影響您的環境。 選 取 [隱藏 MITRE 技術 ] 以關閉擴充。
選取文本分析卡片右上方的 [其他動作] 省略號 (...) ,以複製或重新產生結果,或在 Security Copilot 獨立體驗中檢視結果。 選取 [在 Security Copilot 中開啟] 會開啟新的索引標籤到 Copilot 獨立入口網站,您可以在其中輸入提示並存取其他外掛程式。
檢閱結果,並使用信息來引導您的調查和回應事件。
範例腳本分析提示
在 Security Copilot 獨立入口網站中,您可以使用下列提示來識別和分析腳本:
- 識別 Defender 事件 {incident ID} 中的腳本。 這些是惡意腳本嗎?
提示
在 Security Copilot 入口網站中分析腳本時,Microsoft建議在提示中包含 Defender 一詞,以確保腳本分析功能能提供結果。
提供意見反應
Microsoft強烈鼓勵您提供意見反應給 Copilot,因為這對功能的持續改進非常重要。 您可以選取意見反應圖示 ,以提供結果的意見反應,這可在指令碼分析卡的結尾找到。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。