共用方式為


使用 Microsoft Defender 中的 Microsoft Copilot 進行指令碼分析

透過來自 Microsoft Defender 入口網站中 Microsoft Security Copilot 的 AI 支援調查功能,安全性小組可以加速分析惡意或可疑的腳本和命令行。

本指南說明什麼是指令碼分析功能及其運作方式,包括您可以如何針對產生的結果提供意見反應。

開始之前的須知事項

如果您不熟悉 Security Copilot,請閱讀下列文章來熟悉它:

大多數複雜且繁複的攻擊 (例如 勒索軟體) 會透過多種方式 (包括使用指令碼和 PowerShell 命令行) 來避免偵測。 此外,這些指令碼通常被模糊化,這也增加了偵測和分析的複雜性。 安全性作業小組需要快速分析指令碼,以瞭解功能並套用適當的緩和措施,立即阻止攻擊在網路中進一步展開。

指令碼分析功能提供安全性小組新增功能,以在不需要使用外部工具的情況下,檢查指令碼。 此功能也可降低分析的複雜性,將挑戰減到最小,並允許安全性小組快速評估指令碼,並識別指令碼為惡意或良性。

Microsoft Defender中的 Security Copilot整合

腳本分析功能可在 Microsoft Defender 入口網站中供已布建存取 Security Copilot 的客戶使用。

透過 Microsoft Defender 全面偵測回應 外掛程式,腳本分析也可在 Security Copilot 獨立體驗中使用。 深入瞭解 Security Copilot 中預安裝的外掛程式

重點功能

您可以在事件頁面上和 裝置時間軸 中的事件圖表下方的攻擊故事存取指令碼分析功能。

若要開始分析,請執行下列步驟:

  1. 開啟事件頁面,然後選取左窗格上的項目,以開啟事件圖表下方的攻擊故事。 在攻擊故事中,選取具有您要分析之指令碼或命令行的事件。 點擊 [分析] 以開始分析。

    顯示攻擊故事檢視中腳本分析按鈕的螢幕快照。

    或者,您可以選取要在裝置時間表檢視中檢查的事件。 在 [檔案詳細資料] 窗格中,選取 [分析] 以執行指令碼分析功能。

    顯示裝置時間軸中 [分析] 按鈕的螢幕快照。

  2. Copilot 會執行指令碼分析,並在 [Copilot] 窗格中顯示結果。 選取 [顯示程式碼] 以展開指令碼,或選取 [隱藏程式碼] 以關閉展開。

    醒目提示文本分析結果中顯示或隱藏程式代碼選項的螢幕快照。

  3. 取 [顯示 MITRE 技術 ] 以檢視與腳本相關聯的 MITRE ATT&CK 技術。 此資訊可協助您瞭解文本所使用的技術,以及其如何影響您的環境。 選 取 [隱藏 MITRE 技術 ] 以關閉擴充。

    螢幕快照,醒目提示腳本分析結果中的顯示或隱藏MITRE 技術選項。

  4. 選取文本分析卡片右上方的 [其他動作] 省略號 (...) ,以複製或重新產生結果,或在 Security Copilot 獨立體驗中檢視結果。 選取 [在 Security Copilot 中開啟] 會開啟新的索引標籤到 Copilot 獨立入口網站,您可以在其中輸入提示並存取其他外掛程式。

    顯示 Copilot 文稿分析卡片中 [更多動作] 選項的螢幕快照。

  5. 檢閱結果,並使用信息來引導您的調查和回應事件。

範例腳本分析提示

在 Security Copilot 獨立入口網站中,您可以使用下列提示來識別和分析腳本:

  • 識別 Defender 事件 {incident ID} 中的腳本。 這些是惡意腳本嗎?

提示

在 Security Copilot 入口網站中分析腳本時,Microsoft建議在提示中包含 Defender 一詞,以確保腳本分析功能能提供結果。

提供意見反應

Microsoft強烈鼓勵您提供意見反應給 Copilot,因為這對功能的持續改進非常重要。 您可以選取意見反應圖示 [Defender 中的 Copilot 卡片之意見反應圖示的螢幕擷取畫面],以提供結果的意見反應,這可在指令碼分析卡的結尾找到。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群