在 Microsoft Defender 中使用 Microsoft Copilot 进行文件分析
适用于:
- Microsoft Defender XDR
- Microsoft Defender 统一安全运营中心 (SOC) 平台
Microsoft Microsoft Defender 门户中的 Copilot for Security 使安全团队能够通过 AI 支持的文件分析功能快速识别恶意文件和可疑文件。
跟踪和解决攻击的安全运营团队需要工具和技术来快速分析潜在的恶意文件。 复杂的攻击通常使用模仿合法文件或系统文件的文件来避免检测。 此外,新到现场的安全分析师可能需要时间并获得大量经验才能使用可用的分析工具和技术。
Defender 中 Copilot 的文件分析功能通过立即提供可靠且完整的文件调查结果,减少了学习文件分析的障碍。 此功能使各级安全分析师能够以较短的周转时间完成调查。 报告包括文件的概述、文件内容的详细信息以及文件的评估摘要。
文件分析功能通过 Copilot for Security 许可证在 Microsoft Defender 中提供。 Copilot for Security 独立门户用户还通过 Microsoft Defender XDR 插件具有文件分析功能和其他 Defender XDR 功能。
分析文件
Copilot 生成的文件分析结果通常包含以下信息:
- 概述 - 包含文件的评估,包括文件是恶意/可能不需要的检测名称、重要的文件信息(如证书和签名者),以及参与评估的文件内容的摘要。
- 详细信息 - 突出显示文件中找到 的字符串 ,列出文件使用的 API 调用 ,并列出文件的相关 证书的信息。
注意
分析结果因文件内容而异。
可以通过以下方式访问文件分析功能:
- 打开文件页。 Copilot 在打开文件页时自动生成分析。 结果默认显示概述信息,然后显示在 Copilot 窗格中。
选择“ 显示详细信息 (上面显示的) ”以显示完整结果,或 选择“隐藏详细信息 ” (突出显示) 以最小化结果。 - 从事件页中,选择要在 攻击故事 图中调查的文件。 还可以选择要在警报页中调查的文件。 选择要调查的文件,然后在侧窗格中选择“ 分析 ”以开始分析。 结果随后显示在“Copilot”窗格上。
可以通过选择文件分析卡顶部的“更多操作”省略号 (...) ,将结果复制到剪贴板、重新生成结果或打开 Copilot for Security 门户。
始终在 Defender 中查看 Copilot 生成的结果。 选择“反馈”图标 ,以提供反馈。
另请参阅
- 运行脚本分析
- 汇总事件
- 生成设备摘要
- 使用引导响应解决事件
- 安全 Copilot 入门
- 详细了解 Microsoft Copilot for Security 中的预安装插件
- 了解其他 Copilot for Security 嵌入式体验
提示
想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈