Komentosarjan analyysi Microsoft Defenderin Microsoft Copilotin avulla

Artikkeli
10/31/2024
Koskee seuraavia::

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender -portaalin Microsoft Copilot for Securityn tekoälyn avulla tietoturvatiimit voivat nopeuttaa haitallisten tai epäilyttävien komentosarjojen ja komentorivien analysointia.

Tässä oppaassa kuvataan, mikä komentosarja-analyysiominaisuus on ja miten se toimii, mukaan lukien se, miten voit antaa palautetta luoduista tuloksista.

Tiedä ennen kuin aloitat

Jos olet uusi Copilot for Security -käyttäjä, tutustu siihen lukemalla seuraavat artikkelit:

Monimutkaisimmat ja kehittyneimmät hyökkäykset, kuten kiristysohjelmat, välttävät tunnistuksen useilla eri tavoilla, kuten komentosarjojen ja PowerShellin komentorivien avulla. Lisäksi nämä komentosarjat ovat usein piilossa, mikä lisää tunnistuksen ja analyysin monimutkaisuutta. Tietoturvatiimien on analysoitava komentosarjoja ja koodeja nopeasti, jotta ne voivat ymmärtää koodien ominaisuudet ja soveltaa asianmukaisia lievennystoimia, mikä estää välittömästi hyökkäysten etenemisen verkossa.

Komentosarjan analyysiominaisuus tarjoaa suojaustiimeille lisäkapasiteetin komentosarjojen tarkastamiseen ilman ulkoisia työkaluja. Tämä ominaisuus myös vähentää analyysin monimutkaisuutta, minimoi haasteita ja antaa tietoturvatiimien nopeasti arvioida ja tunnistaa komentosarjan haitalliseksi tai vaarattomaksi.

Copilot Microsoft Defender:n suojauksen integrointia varten

Komentosarja-analyysiominaisuus on käytettävissä Microsoft Defender-portaalissa asiakkaille, jotka ovat varanneet Copilot for Securityn käyttöoikeuden.

Komentosarjan analyysi on käytettävissä myös Copilot for Securityn erillisessä käyttökokemuksessa Microsoft Defender XDR -laajennuksen kautta. Lisätietoja Copilot for Securityn esiasennetuista laajennuksista.

Tärkeimmät ominaisuudet

Voit käyttää hyökkäystarinan komentosarjan analyysiominaisuutta tapaussivun tapauskaavion alla ja laitteen aikajanalla.

Aloita analyysi suorittamalla seuraavat vaiheet:

Avaa tapaussivu ja valitse sitten kohde vasemmasta ruudusta avataksesi hyökkäystarinan tapauskaavion alapuolella. Valitse hyökkäystarinassa tapahtuma, jossa on analysoitava komentosarja tai komentorivi. Aloita analyysi valitsemalla Analysoi.

Vaihtoehtoisesti voit valita tarkistettavan tapahtuman laitteen aikajananäkymässä. Suorita komentosarjan analyysiominaisuus valitsemalla Tiedoston tiedot -ruudussa Analysoi.
Copilot suorittaa komentosarjan analyysin ja näyttää tulokset Copilot-ruudussa. Laajenna komentosarja valitsemalla Näytä koodi tai Sulje laajennus piilota koodi.
Kopioi tai luo tulokset uudelleen valitsemalla komentosarjan analyysikortin oikeasta yläkulmasta Lisää toimintoja kolme pistettä (...) tai tarkastele Copilot for Securityn erilliskäyttökokemuksen tuloksia. Avaa Copilot for Securityn valitseminen avaa Copilot-erillisportaaliin uuden välilehden, jossa voit syöttää kehotteita ja käyttää muita laajennuksia.
Tarkista tulokset käyttämällä tietoja, jotka ohjaavat tutkimustasi ja vastaustasi tapaukseen.

Esimerkki komentosarja-analyysikehote

Erillisportaalin Copilot for Security -portaalissa voit käyttää seuraavaa kehotetta komentosarjojen tunnistamiseen ja analysointiin:

Tunnista Defenderin tapauksen {incident ID} komentosarjat. Ovatko nämä haitallisia komentosarjoja?

Vihje

Analysoidessaan komentosarjoja Copilot for Security -portaalissa Microsoft suosittelee, että lisäät defender-sanan kehotteeseen varmistaaksesi, että komentosarja-analyysiominaisuus toimittaa tulokset.

Anna palautetta

Microsoft rohkaisee sinua antamaan palautetta Copilotille, sillä se on erittäin tärkeää ominaisuuden jatkuvan parantamisen kannalta. Voit antaa palautetta tuloksista valitsemalla palautekuvakkeen Näyttökuva Copilotin palautekuvakkeesta Defender-korteissa. Se löytyy komentosarjan analyysikortin lopusta.

Tutustu myös seuraaviin ohjeartikkeleihin: