在 Microsoft Defender 中使用 Microsoft Copilot 进行脚本分析

适用于:

  • Microsoft Defender XDR
  • Microsoft Defender 统一安全运营中心 (SOC) 平台

通过 Microsoft Defender 门户中 Microsoft Copilot for Security 的 AI 支持的调查功能,安全团队可以加快对恶意或可疑脚本和命令行的分析速度。

大多数复杂和复杂的攻击(如 勒索软件) 通过多种方式逃避检测,包括使用脚本和 PowerShell 命令行。 此外,这些脚本通常经过模糊处理,这会增加检测和分析的复杂性。 安全运营团队需要快速分析脚本以了解功能并应用适当的缓解措施,从而立即阻止攻击在网络中进一步发展。

脚本分析功能为安全团队提供了额外的容量,无需使用外部工具即可检查脚本。 此功能还可以降低分析的复杂性,最大程度地减少挑战,并使安全团队能够快速评估脚本并将其识别为恶意或良性脚本。 还可以通过 Microsoft Defender XDR 插件在 Copilot for Security 独立体验中使用脚本分析。 详细了解 Copilot for Security 中的预安装插件

本指南介绍脚本分析功能是什么及其工作原理,包括如何提供有关生成结果的反馈。

分析脚本

可以在事件页面和 设备时间线的事件图下方的攻击情景中访问脚本分析功能。

若要开始分析,请执行以下步骤:

  1. 打开事件页,然后选择左窗格中的一项,以打开事件图下方的攻击事件。 在攻击事件中,选择具有要分析的脚本或命令行的事件。 单击“ 分析 ”开始分析。

    显示攻击情景视图中的“脚本分析”按钮的屏幕截图。

    或者,可以在设备时间线视图中选择要检查的事件。 在“文件详细信息”窗格中,选择“ 分析 ”以运行脚本分析功能。

    显示设备时间线中的“分析”按钮的屏幕截图。

  2. Copilot 运行脚本分析并在 Copilot 窗格中显示结果。 选择 “显示代码 ”以展开脚本,或 选择“隐藏代码 ”以关闭扩展。

    显示“Copilot”窗格的屏幕截图,其中包含 Microsoft Defender XDR 事件页中的脚本分析结果。

  3. 选择脚本分析卡右上角的 “更多操作 ”省略号 (...) 以复制或重新生成结果,或在 Copilot for Security 独立体验中查看结果。 选择“ 在 Copilot for Security 中打开 ”将打开 Copilot 独立门户的新选项卡,可在其中输入提示并访问其他插件。

    显示 Copilot 脚本分析卡中的“更多操作”选项的屏幕截图。

  4. 查看结果。 可以通过选择“反馈”图标“” Defender 卡中 Copilot 反馈图标的屏幕截图 “来提供有关结果的反馈。位于脚本分析卡末尾。

另请参阅

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动