Compartir vía

Análisis de scripts con Microsoft Copilot en Microsoft Defender

  • Artículo
  • Se aplica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A través de las capacidades de investigación basadas en inteligencia artificial de Microsoft Copilot para seguridad en el portal de Microsoft Defender, los equipos de seguridad pueden acelerar el análisis de scripts y líneas de comandos malintencionados o sospechosos.

En esta guía se describe qué es la funcionalidad de análisis de scripts y cómo funciona, incluido cómo puede proporcionar comentarios sobre los resultados generados.

Saber antes de empezar

Si no está familiarizado con Copilot for Security, debe familiarizarse con él leyendo los artículos siguientes:

Los ataques más complejos y sofisticados, como ransomware, eludir la detección de varias maneras, incluido el uso de scripts y líneas de comandos de PowerShell. Además, estos scripts suelen estar ofuscados, lo que aumenta la complejidad de la detección y el análisis. Los equipos de operaciones de seguridad necesitan analizar rápidamente scripts para comprender las funcionalidades y aplicar la mitigación adecuada, lo que impide inmediatamente que los ataques avancen más dentro de una red.

La funcionalidad de análisis de scripts proporciona a los equipos de seguridad capacidad adicional para inspeccionar scripts sin usar herramientas externas. Esta funcionalidad también reduce la complejidad del análisis, minimizando los desafíos y permitiendo a los equipos de seguridad evaluar e identificar rápidamente un script como malintencionado o benigno.

Integración de Copilot for Security en Microsoft Defender

La funcionalidad de análisis de scripts está disponible en el portal de Microsoft Defender para los clientes que han aprovisionado el acceso a Copilot for Security.

El análisis de scripts también está disponible en la experiencia independiente de Copilot para seguridad a través del complemento Microsoft Defender XDR. Más información sobre Complementos preinstalados en Copilot para seguridad.

Características principales

Puede acceder a la funcionalidad de análisis de scripts dentro del caso de ataque debajo del gráfico de incidentes en una página de incidente y en la escala de tiempo del dispositivo.

Para comenzar el análisis, realice los pasos siguientes:

  1. Abra una página de incidente y, a continuación, seleccione un elemento en el panel izquierdo para abrir el caso de ataque debajo del gráfico de incidentes. En el caso de ataque, seleccione un evento con un script o una línea de comandos que quiera analizar. Haga clic en Analizar para iniciar el análisis.

    Captura de pantalla que muestra el botón de análisis de script en la vista de historia de ataque.

    Como alternativa, puede seleccionar un evento para inspeccionar en la vista de escala de tiempo del dispositivo. En el panel de detalles del archivo, seleccione Analizar para ejecutar la funcionalidad de análisis de scripts.

    Captura de pantalla que muestra el botón Analizar en la escala de tiempo del dispositivo.

  2. Copilot ejecuta el análisis de scripts y muestra los resultados en el panel de Copilot. Seleccione Mostrar código para expandir el script u Ocultar código para cerrar la expansión.

    Captura de pantalla que muestra el panel Copilot con los resultados del análisis de scripts en la página Microsoft Defender XDR incidente.

  3. Seleccione los puntos suspensivos (...) de Más acciones de la parte superior derecha de la tarjeta de análisis de scripts para copiar o volver a generar los resultados, o bien vea los resultados en la experiencia independiente de Copilot para seguridad. Al seleccionar Abrir en Copilot para seguridad se abre una nueva pestaña en el portal independiente de Copilot, donde puede especificar mensajes y acceder a otros complementos.

    Captura de pantalla que muestra la opción Más acciones en la tarjeta de análisis de scripts de Copilot.

  4. Revise los resultados y use la información para guiar la investigación y la respuesta al incidente.

Símbolo del sistema de análisis de script de ejemplo

En el portal independiente de Copilot for Security, puede usar el siguiente símbolo del sistema para identificar y analizar scripts:

  • Identifique los scripts del incidente de Defender {id. de incidente}. ¿Son estos scripts malintencionados?

Sugerencia

Al analizar scripts en el portal de Copilot for Security, Microsoft recomienda incluir la palabra Defender en los mensajes para asegurarse de que la funcionalidad de análisis de scripts proporciona los resultados.

Enviar comentarios

Microsoft le anima encarecidamente a proporcionar comentarios a Copilot, ya que es fundamental para la mejora continua de una funcionalidad. Puede proporcionar comentarios sobre los resultados seleccionando el icono de comentarios Captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender. que se encuentra al final de la tarjeta de análisis de script.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.