Анализ скриптов с помощью Microsoft Copilot в Microsoft Defender

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Благодаря возможностям расследования на основе ИИ Microsoft Copilot для безопасности, встроенным в портал Microsoft Defender, группы безопасности могут ускорить анализ вредоносных и подозрительных скриптов и командных строк.

В этом руководстве описывается, что такое возможность анализа сценариев и как она работает, в том числе как можно предоставить отзыв о полученных результатах.

Перед началом работы

Если вы не знакомы с Copilot for Security, ознакомьтесь со следующими статьями:

• Что такое Copilot для безопасности?
• Возможности Copilot для обеспечения безопасности
• Начало работы с Copilot для безопасности
• Общие сведения о проверке подлинности в Copilot для безопасности
• Запрос в Copilot для безопасности

Наиболее сложные и изощренные атаки, такие как программы-шантажисты, ускользают от обнаружения множеством способов, включая использование скриптов и командных строк PowerShell. Более того, эти сценарии часто запутаны, что усложняет их обнаружение и анализ. Группам безопасности необходимо быстро анализировать скрипты и коды, чтобы оценить последствия и применить соответствующие меры по устранению рисков, немедленно останавливая дальнейшее развитие атак внутри сети.

Возможность анализа скриптов предоставляет группам безопасности дополнительные возможности для проверки скриптов без использования внешних инструментов. Эта возможность также снижает сложность анализа, сводя к минимуму проблемы и позволяя группам безопасности быстро оценить и идентифицировать сценарий как вредоносный или безопасный.

Интеграция Copilot for Security в Microsoft Defender

Возможность анализа скриптов доступна на портале Microsoft Defender для клиентов, которые подготовили доступ к Copilot for Security.

Анализ скриптов также доступен в автономном интерфейсе Copilot для безопасности через подключаемый модуль XDR в Microsoft Defender. Узнайте больше о предустановленных подключаемых модулях в Copilot для безопасности.

Основные возможности

Доступ к функции анализа скриптов можно получить в истории атаки под графом инцидентов на странице инцидента и на временной шкале устройства.

Чтобы начать анализ, выполните следующие действия.

1. Откройте страницу инцидента, а затем выберите элемент на панели слева, чтобы открыть историю атаки под графиком инцидентов. В истории атаки выберите событие со скриптом или командной строкой, которое требуется проанализировать. Нажмите кнопку Анализ, чтобы начать анализ.

   

   Кроме того, можно выбрать событие для проверки в представлении временной шкалы устройства. В области сведений о файле выберите Анализ, чтобы запустить возможность анализа скрипта.

   

2. Copilot выполняет анализ скрипта и показывает результаты в панели Copilot. Выберите Показать код, чтобы развернуть скрипт, или Скрыть код, чтобы снова свернуть его.

   

3. Щелкните Дополнительные действия — три точки (...) в правом верхнем углу карточки анализа сценария, — чтобы скопировать или повторно сгенерировать результаты или просмотреть их в автономном интерфейсе Copilot для безопасности. При выборе Открыть в Copilot для безопасности открывается новая вкладка автономного портала Copilot для безопасности, где можно вводить запросы и получать доступ к другим подключаемым модулям.

   

4. Просмотрите результаты и используйте информацию, чтобы помочь в расследовании и реагировании на инцидент.

Пример запроса на анализ скрипта

На автономном портале Copilot for Security можно использовать следующие запросы для определения и анализа скриптов:

• Определите скрипты в инциденте Defender {идентификатор инцидента}. Это вредоносные скрипты?

Совет

При анализе скриптов на портале Copilot для безопасности корпорация Майкрософт рекомендует включить слово Defender в ваши запросы, чтобы убедиться, что возможность анализа скриптов предоставляет результаты.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Вы можете отправить отзыв о результатах, выбрав значок обратной связи , который находится в конце карточки анализа скрипта.

См. также

• Сведения о других внедренных интерфейсах Copilot для безопасности
• Конфиденциальность и безопасность данных в Copilot for Security

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.