在 Microsoft Defender 中使用 Microsoft Copilot 进行脚本分析
适用于:
- Microsoft Defender XDR
- Microsoft Defender统一的安全运营中心 (SOC) 平台
通过Microsoft Defender门户中Microsoft 安全 Copilot的 AI 支持的调查功能,安全团队可以加快对恶意或可疑脚本和命令行的分析速度。
大多数复杂和复杂的攻击(如 勒索软件) 通过多种方式逃避检测,包括使用脚本和 PowerShell 命令行。 此外,这些脚本通常经过模糊处理,这会增加检测和分析的复杂性。 安全运营团队需要快速分析脚本以了解功能并应用适当的缓解措施,从而立即阻止攻击在网络中进一步发展。
脚本分析功能为安全团队提供了额外的容量,无需使用外部工具即可检查脚本。 此功能还可以降低分析的复杂性,最大程度地减少挑战,并使安全团队能够快速评估脚本并将其识别为恶意或良性脚本。 脚本分析也可通过 Microsoft Defender XDR 插件在安全 Copilot独立体验中使用。 详细了解 安全 Copilot 中的预安装插件。
本指南介绍脚本分析功能是什么及其工作原理,包括如何提供有关生成结果的反馈。
分析脚本
可以在事件页面的事件图下方以及设备时间线中访问攻击情景中的脚本分析功能。
若要开始分析,请执行以下步骤:
打开事件页,然后选择左窗格中的一项,以打开事件图下方的攻击事件。 在攻击事件中,选择具有要分析的脚本或命令行的事件。 单击“ 分析 ”开始分析。
或者,可以在设备时间线视图中选择要检查的事件。 在“文件详细信息”窗格中,选择“ 分析 ”以运行脚本分析功能。
Copilot 运行脚本分析并在 Copilot 窗格中显示结果。 选择 “显示代码 ”以展开脚本,或 选择“隐藏代码 ”以关闭扩展。
选择脚本分析右上角的“更多操作”省略号 (...) 卡复制或重新生成结果,或者在安全 Copilot独立体验中查看结果。 选择“在 安全 Copilot打开”将打开 Copilot 独立门户的新选项卡,可在其中输入提示并访问其他插件。
查看结果。 可以通过选择反馈图标“”来提供有关结果的反馈。可在脚本分析卡末尾找到。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈