使用 Microsoft Defender 中的 Microsoft Copilot 進行指令碼分析

• 適用於:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

透過 Microsoft Defender 入口網站中的 Microsoft Copilot for Security 的 AI 支援的調查功能，安全性小組可以加速其對惡意或可疑的指令碼和命令行的分析。

本指南說明什麼是指令碼分析功能及其運作方式，包括您可以如何針對產生的結果提供意見反應。

開始之前的須知事項

如果您不熟悉 Copilot for Security，您應該閱讀下列文章來熟悉它：

• 什麼是 Copilot for Security？
• Copilot for Security 體驗
• 開始使用 Copilot for Security
• 瞭解 Copilot for Security 中的驗證
• 在 Copilot for Security 中提示

大多數複雜且繁複的攻擊 (例如 勒索軟體) 會透過多種方式 (包括使用指令碼和 PowerShell 命令行) 來避免偵測。 此外，這些指令碼通常被模糊化，這也增加了偵測和分析的複雜性。 安全性作業小組需要快速分析指令碼，以瞭解功能並套用適當的緩和措施，立即阻止攻擊在網路中進一步展開。

指令碼分析功能提供安全性小組新增功能，以在不需要使用外部工具的情況下，檢查指令碼。 此功能也可降低分析的複雜性，將挑戰減到最小，並允許安全性小組快速評估指令碼，並識別指令碼為惡意或良性。

Microsoft Defender 中安全性整合的 Copilot

腳本分析功能可在 Microsoft Defender 入口網站中供已布建安全性 Copilot 存取權的客戶使用。

指令碼分析也可透過 Microsoft Defender 全面偵測回應外掛程式，在 Copilot for Security 獨立體驗中取得。 深入瞭解 Copilot for Security 中預先安裝的外掛程式。

重點功能

您可以在事件頁面上和 裝置時間軸 中的事件圖表下方的攻擊故事存取指令碼分析功能。

若要開始分析，請執行下列步驟:

1. 開啟事件頁面，然後選取左窗格上的項目，以開啟事件圖表下方的攻擊故事。 在攻擊故事中，選取具有您要分析之指令碼或命令行的事件。 點擊 [分析] 以開始分析。

   

   或者，您可以選取要在裝置時間表檢視中檢查的事件。 在 [檔案詳細資料] 窗格中，選取 [分析] 以執行指令碼分析功能。

   

2. Copilot 會執行指令碼分析，並在 [Copilot] 窗格中顯示結果。 選取 [顯示程式碼] 以展開指令碼，或選取 [隱藏程式碼] 以關閉展開。

   

3. 選取指令碼分析卡右上角的 [其他動作] 省略號 (...)，以複製或重新產生結果，或在 Copilot for Security 獨立體驗中檢視結果。 選取 [在 Copilot for Security 中開啟] 會開啟新的 Copilot 獨立入口網站，您可以在此輸入提示並存取其他外掛程式。

   

4. 檢閱結果，並使用信息來引導您的調查和回應事件。

範例腳本分析提示

在 Copilot for Security 獨立入口網站中，您可以使用下列提示來識別和分析腳本：

• 識別 Defender 事件 {incident ID} 中的腳本。 這些是惡意腳本嗎？

提示

在安全性入口網站中分析腳本時，Microsoft建議在提示中包含 Defender 一詞，以確保腳本分析功能能提供結果。

提供意見反應

Microsoft強烈鼓勵您提供意見反應給 Copilot，因為這對功能的持續改進非常重要。 您可以選取意見反應圖示 ，以提供結果的意見反應，這可在指令碼分析卡的結尾找到。

另請參閱

• 深入瞭解其他的 Copilot for Security 內嵌體驗
• Copilot for Security 中的隱私權和數據安全性

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。