Skriptanalyse mit Microsoft Copilot in Microsoft Defender
Durch KI-gestützte Untersuchungsfunktionen von Microsoft Copilot für Security im Microsoft Defender-Portal können Sicherheitsteams ihre Analyse bösartiger oder verdächtiger Skripts und Befehlszeilen beschleunigen.
In diesem Leitfaden wird beschrieben, was die Skriptanalysefunktion ist und wie sie funktioniert, einschließlich, wie Sie Feedback zu den generierten Ergebnissen geben können.
Klare Ideen vor dem Loslegen
Wenn Sie noch nicht mit Copilot for Security vertraut sind, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Copilot for Security?
- Copilot für Security Erfahrungen
- Erste Schritte mit Copilot für Security
- Grundlegendes zur Authentifizierung in Copilot for Security
- Eingabeaufforderung in Copilot für Security
Die meisten komplexen und komplexesten Angriffe wie Ransomware umgehen die Erkennung auf unterschiedliche Weise, einschließlich der Verwendung von Skripts und PowerShell-Befehlszeilen. Darüber hinaus werden diese Skripts häufig verschleiert, was die Komplexität der Erkennung und Analyse erhöht. Sicherheitsteams müssen Skripts schnell analysieren, um die Funktionen zu verstehen und geeignete Entschärfungen anzuwenden, um angriffe sofort daran zu hindern, innerhalb eines Netzwerks weiter zu gehen.
Die Skriptanalysefunktion bietet Sicherheitsteams zusätzliche Kapazität zum Überprüfen von Skripts, ohne externe Tools zu verwenden. Diese Funktion reduziert auch die Komplexität der Analyse, minimiert Herausforderungen und ermöglicht es Sicherheitsteams, ein Skript schnell als bösartig oder unschädlich zu bewerten und zu identifizieren.
Copilot for Security-Integration in Microsoft Defender
Die Skriptanalysefunktion ist im Microsoft Defender-Portal für Kunden verfügbar, die Zugriff auf Copilot for Security bereitgestellt haben.
Die Skriptanalyse ist auch in der eigenständigen Umgebung von Copilot für Security über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security.
Hauptmerkmale
Sie können auf die Skriptanalysefunktion innerhalb des Angriffsverlaufs unterhalb des Incidentdiagramms auf einer Incidentseite und in der Gerätezeitachse zugreifen.
Führen Sie die folgenden Schritte aus, um mit der Analyse zu beginnen:
Öffnen Sie eine Incidentseite, und wählen Sie dann im linken Bereich ein Element aus, um die Angriffsmeldung unterhalb des Incidentdiagramms zu öffnen. Wählen Sie innerhalb der Angriffsgeschichte ein Ereignis mit einem Skript oder einer Befehlszeile aus, das Sie analysieren möchten. Klicken Sie auf Analysieren, um die Analyse zu starten.
Alternativ können Sie ein Ereignis auswählen, das in der Zeitachsenansicht des Geräts überprüft werden soll. Wählen Sie im Dateidetailsbereich Analysieren aus, um die Skriptanalysefunktion auszuführen.
Copilot führt die Skriptanalyse aus und zeigt die Ergebnisse im Bereich "Copilot" an. Wählen Sie Code anzeigen aus, um das Skript zu erweitern, oder Code ausblenden, um die Erweiterung zu schließen.
Wählen Sie oben rechts auf der Skriptanalysekarte die Auslassungspunkte für weitere Aktionen (...) aus, um die Ergebnisse zu kopieren oder neu zu generieren, oder zeigen Sie die Ergebnisse in der eigenständigen Umgebung von Copilot für Security an. Wenn Sie In Copilot für Security öffnen auswählen, wird eine neue Registerkarte zum eigenständigen Copilot-Portal geöffnet, auf der Sie Eingabeaufforderungen eingeben und auf andere Plug-Ins zugreifen können.
Überprüfen Sie die Ergebnisse, und verwenden Sie die Informationen, um Ihre Untersuchung und Reaktion auf den Vorfall zu steuern.
Beispiel für die Skriptanalyseeingabeaufforderung
Im eigenständigen Copilot for Security-Portal können Sie die folgende Aufforderung verwenden, Skripts zu identifizieren und zu analysieren:
- Identifizieren Sie die Skripts in Defender Incident {incident ID}. Handelt es sich um schädliche Skripts?
Tipp
Bei der Analyse von Skripts im Copilot for Security-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen einzugeben, um sicherzustellen, dass die Skriptanalysefunktion die Ergebnisse liefert.
Feedback geben
Microsoft empfiehlt Ihnen dringend, Copilot Feedback zu geben, da dies für die kontinuierliche Verbesserung einer Funktion von entscheidender Bedeutung ist. Sie können Feedback zu den Ergebnissen geben, indem Sie das Feedbacksymbol am Ende der Skriptanalysekarte gefunden.
Siehe auch
- Weitere Informationen zu anderen eingebetteten Copilot für Security-Umgebungen
- Datenschutz und Datensicherheit in Copilot for Security
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.