تحليل البرنامج النصي مع Microsoft Copilot في Microsoft Defender

  • ينطبق على: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

من خلال قدرات التحقيق التي تعمل بالذكاء الاصطناعي من Microsoft Security Copilot في مدخل Microsoft Defender، يمكن لفرق الأمان تسريع تحليلها للنصوص وخطوط الأوامر الضارة أو المشبوهة.

يصف هذا الدليل ماهية إمكانية تحليل البرنامج النصي وكيفية عملها، بما في ذلك كيفية تقديم الملاحظات حول النتائج التي تم إنشاؤها.

المعرفة قبل البدء

إذا كنت جديدا على Security Copilot، يجب أن تتعرف عليه من خلال قراءة المقالات التالية:

تتجنب الهجمات الأكثر تعقيدا مثل برامج الفدية الضارة الكشف عبر طرق عديدة، بما في ذلك استخدام البرامج النصية وخطوط أوامر PowerShell. علاوة على ذلك، غالباً ما يتم تعتيم هذه البرامج النصية، مما يضيف إلى تعقيد الكشف والتحليل. تحتاج فرق عمليات الأمان إلى تحليل البرامج النصية بسرعة لفهم القدرات وتطبيق التخفيف المناسب، مما يؤدي إلى إيقاف الهجمات من التقدم بشكل أكبر داخل الشبكة على الفور.

توفر إمكانية تحليل البرنامج النصي سعة إضافية لفرق الأمان لفحص البرامج النصية دون استخدام أدوات خارجية. تقلل هذه الإمكانية أيضاً من تعقيد التحليل، مما يقلل من التحديات ويسمح لفرق الأمان بتقييم البرنامج النصي وتحديده بسرعة على أنه ضار أو حميد.

تكامل Security Copilot في Microsoft Defender

تتوفر إمكانية تحليل البرنامج النصي في مدخل Microsoft Defender للعملاء الذين وفروا الوصول إلى Security Copilot.

يتوفر تحليل البرنامج النصي أيضا في تجربة Security Copilot المستقلة من خلال المكون الإضافي Microsoft Defender XDR. تعرف على المزيد حول المكونات الإضافية المثبتة مسبقا في Security Copilot.

الميزات الأساسية

يمكنك الوصول إلى إمكانية تحليل البرنامج النصي ضمن قصة الهجوم أسفل الرسم البياني للحادث في صفحة الحدث وفي المخطط الزمني للجهاز.

لبدء التحليل، قم بتنفيذ الخطوات التالية:

  1. افتح صفحة حدث ثم حدد عنصرا في الجزء الأيمن لفتح قصة الهجوم أسفل الرسم البياني للحادث. ضمن قصة الهجوم، حدد حدثا يحتوي على برنامج نصي أو سطر أوامر تريد تحليله. انقر فوق "تحليل" لبدء التحليل.

    لقطة شاشة تعرض زر تحليل البرنامج النصي في طريقة عرض قصة الهجوم.

    بدلاً من ذلك، يمكنك تحديد حدث لفحصه في طريقة عرض المخطط الزمني للجهاز. في جزء تفاصيل الملف، حدد "تحليل" لتشغيل قدرة تحليل البرنامج النصي.

    لقطة شاشة تعرض الزر تحليل في المخطط الزمني للجهاز.

  2. تقوم Copilot بتشغيل تحليل البرنامج النصي وعرض النتائج في جزء Copilot. حدد إظهار التعليمات البرمجية لتوسيع البرنامج النصي، أو إخفاء التعليمات البرمجية لإغلاق التوسيع.

    لقطة شاشة تبرز خيار إظهار التعليمات البرمجية أو إخفاؤها داخل نتائج تحليل البرنامج النصي.

  3. حدد Show MITRE techniques لعرض MITRE ATT&تقنيات CK المقترنة بالبرنامج النصي. تساعدك هذه المعلومات على فهم التقنيات المستخدمة من قبل البرنامج النصي وكيف يمكن أن تؤثر على بيئتك. حدد إخفاء تقنيات MITRE لإغلاق التوسع.

    لقطة شاشة تبرز خيار إظهار تقنيات MITRE أو إخفاؤها ضمن نتائج تحليل البرنامج النصي.

  4. حدد علامة الحذف More actions (...) في الجزء العلوي الأيسر من بطاقة تحليل البرنامج النصي لنسخ النتائج أو إعادة إنشائها، أو عرض النتائج في التجربة المستقلة Security Copilot. يؤدي تحديد فتح في Security Copilot إلى فتح علامة تبويب جديدة إلى مدخل Copilot المستقل حيث يمكنك إدخال المطالبات والوصول إلى المكونات الإضافية الأخرى.

    لقطة شاشة تعرض خيار المزيد من الإجراءات في بطاقة تحليل البرنامج النصي Copilot.

  5. راجع النتائج واستخدم المعلومات لتوجيه التحقيق والاستجابة للحادث.

نموذج مطالبة تحليل البرنامج النصي

في Security Copilot المدخل المستقل، يمكنك استخدام المطالبة التالية لتحديد البرامج النصية وتحليلها:

  • حدد البرامج النصية في حدث Defender {incident ID}. هل هذه البرامج النصية الضارة؟

تلميح

عند تحليل البرامج النصية في مدخل Security Copilot، توصي Microsoft بتضمين كلمة Defender في مطالباتك للتأكد من أن إمكانية تحليل البرنامج النصي تقدم النتائج.

تقديم ملاحظات

تشجعك Microsoft بشدة على تقديم ملاحظات إلى Copilot، لأنها ضرورية للتحسين المستمر للقدرة. يمكنك تقديم ملاحظات حول النتائج عن طريق تحديد أيقونة الملاحظات لقطة شاشة لأيقونة الملاحظات لـ Copilot في بطاقات Defender. تم العثور عليها في نهاية بطاقة تحليل البرنامج النصي.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.

  • Last updated on