Skriptanalyse med Microsoft Copilot i Microsoft Defender

Artikkel
10/31/2024
Gjelder for:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Gjennom KI-drevne undersøkelsesfunksjoner fra Microsoft Copilot for Security i Microsoft Defender-portalen kan sikkerhetsteam øke hastigheten på analysen av skadelige eller mistenkelige skript og kommandolinjer.

Denne veiledningen beskriver hva skriptanalysefunksjonen er og hvordan den fungerer, inkludert hvordan du kan gi tilbakemelding om resultatene som genereres.

Vit om før du begynner

Hvis du ikke har brukt Copilot for Security før, bør du gjøre deg kjent med det ved å lese følgende artikler:

De fleste komplekse og sofistikerte angrep som løsepengevirus unngår deteksjon gjennom mange måter, inkludert bruk av skript og PowerShell-kommandolinjer. I tillegg er disse skriptene ofte obfuskert, noe som legger til kompleksiteten ved gjenkjenning og analyse. Sikkerhetsoperasjonsteam må raskt analysere skript for å forstå funksjoner og bruke passende begrensninger, og umiddelbart stoppe angrep fra å utvikle seg videre i et nettverk.

Skriptanalysefunksjonen til Sikkerhet Copilot i Microsoft Defender XDR gir sikkerhetsteamene ekstra kapasitet til å undersøke skript uten å bruke eksterne verktøy. Denne funksjonen reduserer også kompleksiteten i analysen, minimerer utfordringer og gjør det mulig for sikkerhetsteam å raskt vurdere og identifisere et skript som ondsinnet eller godartet.

Copilot for Sikkerhetsintegrering i Microsoft Defender

Skriptanalysefunksjonen er tilgjengelig i Microsoft Defender-portalen for kunder som har klargjort tilgang til Copilot for sikkerhet.

Skriptanalyse er også tilgjengelig i den frittstående Copilot for sikkerhet-opplevelsen gjennom plugin-modulen Microsoft Defender XDR. Få mer informasjon om forhåndsinstallerte programtillegg i Copilot for sikkerhet.

Nøkkelfunksjoner

Du kan få tilgang til skriptanalysefunksjonen i angrepshistorien under hendelsesgrafen på en hendelsesside og på enhetens tidslinje.

Utfør følgende trinn for å begynne analysen:

Åpne en hendelsesside, og velg deretter et element i ruten til venstre for å åpne angrepshistorien under hendelsesgrafen. I angrepshistorien velger du en hendelse med et skript eller en kommandolinje som du vil analysere. Klikk på Analyser for å starte analysen.

Alternativt kan du velge en hendelse som skal undersøkes i enhetens tidslinjevisning. Velg Analyser i fildetaljerruten for å kjøre skriptanalysefunksjonen.
Copilot kjører skriptanalyse og viser resultatene i Copilot-ruten. Velg Vis kode for å utvide skriptet, eller Skjul kode for å lukke utvidelsen.
Velg Flere handlinger-ellipsen (...) øverst til høyre på skriptanalysekortet for å kopiere eller generere resultatene på nytt, eller vis resultatene i den frittstående Copilot for sikkerhet-opplevelsen. Hvis du velger Åpne i Copilot for sikkerhet, åpnes en ny fane i den frittstående Copilot-portalen, der du kan angi ledetekster og få tilgang til andre programtillegg.
Se gjennom resultatene ved å bruke informasjonen til å veilede etterforskningen og responsen på hendelsen.

Eksempel på spørsmål om skriptanalyse

I den frittstående Copilot for Security-portalen kan du bruke følgende ledetekst til å identifisere og analysere skript:

Identifiser skriptene i Defender-hendelsen {incident ID}. Er disse ondsinnede skriptene?

Tips

Når du analyserer skript i Copilot for Security-portalen, anbefaler Microsoft å inkludere ordet Defender i instruksjonene for å sikre at skriptanalysefunksjonen leverer resultatene.

Gi tilbakemelding

Microsoft oppfordrer deg sterkt til å gi tilbakemelding til Copilot, da det er avgjørende for en funksjons kontinuerlig forbedring. Du kan gi tilbakemelding på resultatene ved å velge tilbakemeldingsikonet Skjermbilde av tilbakemeldingsikonet for Copilot i Defender-kort. funnet på slutten av skriptanalysekortet.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.

Del via