Анализ скриптов с помощью Microsoft Copilot в Microsoft Defender

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Благодаря возможностям расследования на основе ИИ Microsoft Copilot для безопасности, встроенным в портал Microsoft Defender, группы безопасности могут ускорить анализ вредоносных и подозрительных скриптов и командных строк.

Наиболее сложные и изощренные атаки, такие как программы-шантажисты, ускользают от обнаружения множеством способов, включая использование скриптов и командных строк PowerShell. Более того, эти сценарии часто запутаны, что усложняет их обнаружение и анализ. Группам безопасности необходимо быстро анализировать скрипты и коды, чтобы оценить последствия и применить соответствующие меры по устранению рисков, немедленно останавливая дальнейшее развитие атак внутри сети.

Возможность анализа скриптов предоставляет группам безопасности дополнительные возможности для проверки скриптов без использования внешних инструментов. Эта возможность также снижает сложность анализа, сводя к минимуму проблемы и позволяя группам безопасности быстро оценить и идентифицировать сценарий как вредоносный или безопасный. Анализ скриптов также доступен в автономном интерфейсе Copilot для безопасности через подключаемый модуль XDR в Microsoft Defender. Узнайте больше о предустановленных подключаемых модулях в Copilot для безопасности.

В этом руководстве описывается, что такое возможность анализа сценариев и как она работает, в том числе как можно предоставить отзыв о полученных результатах.

Анализ скрипта

Доступ к функции анализа скриптов можно получить в истории атаки под графом инцидентов на странице инцидента и на временной шкале устройства.

Чтобы начать анализ, выполните следующие действия.

1. Откройте страницу инцидента, а затем выберите элемент на панели слева, чтобы открыть историю атаки под графиком инцидентов. В истории атаки выберите событие со скриптом или командной строкой, которое требуется проанализировать. Нажмите кнопку Анализ, чтобы начать анализ.

   

   Кроме того, можно выбрать событие для проверки в представлении временной шкалы устройства. В области сведений о файле выберите Анализ, чтобы запустить возможность анализа скрипта.

   

2. Copilot выполняет анализ скрипта и показывает результаты в панели Copilot. Выберите Показать код, чтобы развернуть скрипт, или Скрыть код, чтобы снова свернуть его.

   

3. Щелкните Дополнительные действия — три точки (...) в правом верхнем углу карточки анализа сценария, — чтобы скопировать или повторно сгенерировать результаты или просмотреть их в автономном интерфейсе Copilot для безопасности. При выборе Открыть в Copilot для безопасности открывается новая вкладка автономного портала Copilot для безопасности, где можно вводить запросы и получать доступ к другим подключаемым модулям.

   

4. Просмотрите результаты. Вы можете отправить отзыв о результатах, выбрав значок обратной связи , который находится в конце карточки анализа скрипта.

См. также

• Анализ файлов
• Генерация сводки по устройству
• Реагирование на инциденты с помощью реагирования по инструкции
• Создание запросов KQL
• Создание отчета об инциденте
• Начало работы с Microsoft Copilot для безопасности
• Сведения о других встроенных интерфейсах Copilot для безопасности

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.