Teilen über

Dateianalyse mit Microsoft Copilot in Microsoft Defender

  • Artikel
  • Gilt für:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot für Security im Microsoft Defender-Portal ermöglicht es Sicherheitsteams, schädliche und verdächtige Dateien über KI-gestützte Dateianalysefunktionen schnell zu identifizieren.

Klare Ideen vor dem Loslegen

Wenn Sie noch nicht mit Copilot for Security vertraut sind, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:

Sicherheitsteams, die Angriffe nachverfolgen und beheben, benötigen Tools und Techniken, um potenziell schädliche Dateien schnell zu analysieren. Komplexe Angriffe verwenden häufig Dateien, die legitime Dateien oder Systemdateien imitieren, um nicht erkannt zu werden. Darüber hinaus benötigen neue Sicherheitsanalysten möglicherweise Zeit und müssen umfangreiche Erfahrungen sammeln, um verfügbare Analysetools und -techniken zu verwenden.

Die Dateianalysefunktion von Copilot in Defender verringert die Barriere beim Lernen der Dateianalyse, indem sofort zuverlässige und vollständige Dateiuntersuchungsergebnisse bereitgestellt werden. Mit dieser Funktion können Sicherheitsanalysten aller Ebenen ihre Untersuchung mit einer kürzeren Bearbeitungszeit abschließen. Der Bericht enthält eine Übersicht über die Datei, Details zum Inhalt der Datei und eine Zusammenfassung der Bewertung der Datei.

Copilot for Security-Integration in Microsoft Defender

Die Dateianalysefunktion ist in Microsoft Defender für Kunden verfügbar, die Zugriff auf Copilot for Security bereitgestellt haben.

Benutzer des eigenständigen Copilot für Security-Portals verfügen auch über die Dateianalysefunktion und andere Defender XDR-Funktionen über das Microsoft Defender XDR-Plug-In. Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security.

Hauptmerkmale

Die von Copilot generierten Dateianalyseergebnisse enthalten in der Regel die folgenden Informationen:

  • Übersicht – Enthält eine Bewertung der Datei, einschließlich eines Erkennungsnamens, wenn die Datei böswillig/potenziell unerwünscht ist, wichtige Dateiinformationen wie Zertifikate und Signaturgeber sowie eine Zusammenfassung des Inhalts der Datei, die zur Bewertung beiträgt.
  • Details – Hebt die in der Datei gefundenen Zeichenfolgen hervor, listet API-Aufrufe auf, die von der Datei verwendet werden, und listet Informationen zu den relevanten Zertifikaten der Datei auf.

Hinweis

Die Analyseergebnisse variieren je nach Inhalt der Datei.

Sie können auf die Dateianalysefunktion wie folgt zugreifen:

  • Öffnen Sie eine Dateiseite. Copilot generiert beim Öffnen einer Dateiseite automatisch eine Analyse. Die Ergebnisse, die standardmäßig die Übersichtsinformationen anzeigen, werden dann im Bereich Copilot angezeigt.
    Screenshot der Ergebnisse der Dateianalyse in Copilot in Defender mit hervorgehobener Option „Details anzeigen“. Wählen Sie Details anzeigen (siehe oben) aus, um die vollständigen Ergebnisse anzuzeigen, oder Details ausblenden (unten hervorgehoben), um die Ergebnisse zu minimieren. Screenshot der Ergebnisse der Dateianalyse in Copilot in Defender mit hervorgehobener Option „Details ausblenden“.
  • Wählen Sie auf einer Vorfallseite eine Datei aus, die im Angriffsverlaufsdiagramm untersucht werden soll. Sie können auch eine Datei auswählen, die auf einer Warnungsseite untersucht werden soll. Screenshot des Angriffsverlaufsdiagramms mit hervorgehobenen Dateientitäten. Wählen Sie eine Zu untersuchende Datei und dann im Seitenbereich Analysieren aus, um mit der Analyse zu beginnen. Die Ergebnisse werden dann im Bereich „Copilot“ angezeigt. Screenshot der Vorfallseite mit hervorgehobener Schaltfläche „Dateianalyse“.

Sie können die Ergebnisse in die Zwischenablage kopieren, die Ergebnisse neu generieren oder das Copilot für Security-Portal öffnen, indem Sie auf der Dateianalysekarte die Auslassungspunkte „Weitere Aktionen“ (...) auswählen.

Beispieldateianalyseaufforderung

Im eigenständigen Copilot for Security-Portal können Sie die folgende Eingabeaufforderung verwenden, um eine Gerätezusammenfassung zu generieren:

  • Informieren Sie mich über die Dateien in Defender Incident {Incidentnummer). Welche Dateien sind schädlich?

Tipp

Bei der Untersuchung von Dateien im Copilot for Security-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen aufzunehmen, um sicherzustellen, dass die Dateianalysefunktion die Ergebnisse liefert.

Feedback geben

Überprüfen Sie immer die von Copilot in Defender generierten Ergebnisse. Ihr Feedback trägt dazu bei, die Qualität der von Copilot generierten Ergebnisse zu verbessern. Wählen Sie das Feedbacksymbol Screenshot des Feedbacksymbols für Copilot in Defender-Karten am unteren Rand des Bereichs „Copilot“ aus, um Feedback zu geben.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.