在 Microsoft Defender 中使用 Microsoft Copilot 进行脚本分析

适用于：

• Microsoft Defender XDR
• Microsoft Defender 统一安全运营中心 (SOC) 平台

通过 Microsoft Defender 门户中 Microsoft Copilot for Security 的 AI 支持的调查功能，安全团队可以加快对恶意或可疑脚本和命令行的分析速度。

大多数复杂和复杂的攻击（如 勒索软件） 通过多种方式逃避检测，包括使用脚本和 PowerShell 命令行。 此外，这些脚本通常经过模糊处理，这会增加检测和分析的复杂性。 安全运营团队需要快速分析脚本以了解功能并应用适当的缓解措施，从而立即阻止攻击在网络中进一步发展。

脚本分析功能为安全团队提供了额外的容量，无需使用外部工具即可检查脚本。 此功能还可以降低分析的复杂性，最大程度地减少挑战，并使安全团队能够快速评估脚本并将其识别为恶意或良性脚本。 还可以通过 Microsoft Defender XDR 插件在 Copilot for Security 独立体验中使用脚本分析。 详细了解 Copilot for Security 中的预安装插件。

本指南介绍脚本分析功能是什么及其工作原理，包括如何提供有关生成结果的反馈。

分析脚本

可以在事件页面和 设备时间线的事件图下方的攻击情景中访问脚本分析功能。

若要开始分析，请执行以下步骤：

1. 打开事件页，然后选择左窗格中的一项，以打开事件图下方的攻击事件。 在攻击事件中，选择具有要分析的脚本或命令行的事件。 单击“ 分析 ”开始分析。

   

   或者，可以在设备时间线视图中选择要检查的事件。 在“文件详细信息”窗格中，选择“ 分析 ”以运行脚本分析功能。

   

2. Copilot 运行脚本分析并在 Copilot 窗格中显示结果。 选择 “显示代码 ”以展开脚本，或 选择“隐藏代码 ”以关闭扩展。

   

3. 选择脚本分析卡右上角的 “更多操作 ”省略号 (...) 以复制或重新生成结果，或在 Copilot for Security 独立体验中查看结果。 选择“ 在 Copilot for Security 中打开 ”将打开 Copilot 独立门户的新选项卡，可在其中输入提示并访问其他插件。

   

4. 查看结果。 可以通过选择“反馈”图标“” “来提供有关结果的反馈。位于脚本分析卡末尾。

另请参阅

• 分析文件
• 生成设备摘要
• 使用引导式响应以响应事件
• 生成 KQL 查询
• 创建事件报告
• Microsoft 安全 Copilot 入门
• 了解其他 Copilot for Security 嵌入式体验

提示

想要了解更多信息？ 在我们的技术社区：Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。