共用方式為


使用 Microsoft Defender 中的 Microsoft Copilot 進行指令碼分析

透過 Microsoft Defender 入口網站中的 Microsoft Copilot for Security 的 AI 支援的調查功能,安全性小組可以加速其對惡意或可疑的指令碼和命令行的分析。

大多數複雜且繁複的攻擊 (例如 勒索軟體) 會透過多種方式 (包括使用指令碼和 PowerShell 命令行) 來避免偵測。 此外,這些指令碼通常被模糊化,這也增加了偵測和分析的複雜性。 安全性作業小組需要快速分析指令碼,以瞭解功能並套用適當的緩和措施,立即阻止攻擊在網路中進一步展開。

指令碼分析功能提供安全性小組新增功能,以在不需要使用外部工具的情況下,檢查指令碼。 此功能也可降低分析的複雜性,將挑戰減到最小,並允許安全性小組快速評估指令碼,並識別指令碼為惡意或良性。 指令碼分析也可透過 Microsoft Defender 全面偵測回應外掛程式,在 Copilot for Security 獨立體驗中取得。 深入瞭解 Copilot for Security 中預先安裝的外掛程式

本指南說明什麼是指令碼分析功能及其運作方式,包括您可以如何針對產生的結果提供意見反應。

分析指令碼

您可以在事件頁面上和 裝置時間軸 中的事件圖表下方的攻擊故事存取指令碼分析功能。

若要開始分析,請執行下列步驟:

  1. 開啟事件頁面,然後選取左窗格上的項目,以開啟事件圖表下方的攻擊故事。 在攻擊故事中,選取具有您要分析之指令碼或命令行的事件。 點擊 [分析] 以開始分析。

    顯示攻擊故事檢視中腳本分析按鈕的螢幕快照。

    或者,您可以選取要在裝置時間表檢視中檢查的事件。 在 [檔案詳細資料] 窗格中,選取 [分析] 以執行指令碼分析功能。

    顯示裝置時間軸中 [分析] 按鈕的螢幕快照。

  2. Copilot 會執行指令碼分析,並在 [Copilot] 窗格中顯示結果。 選取 [顯示程式碼] 以展開指令碼,或選取 [隱藏程式碼] 以關閉展開。

    此螢幕快照顯示 [Microsoft Defender 全面偵測回應 事件] 頁面中包含腳本分析結果的 [Copilot] 窗格。

  3. 選取指令碼分析卡右上角的 [其他動作] 省略號 (...),以複製或重新產生結果,或在 Copilot for Security 獨立體驗中檢視結果。 選取 [在 Copilot for Security 中開啟] 會開啟新的 Copilot 獨立入口網站,您可以在此輸入提示並存取其他外掛程式。

    顯示 Copilot 文稿分析卡片中 [更多動作] 選項的螢幕快照。

  4. 檢閱結果。 您可以選取意見反應圖示 [Defender 中的 Copilot 卡片之意見反應圖示的螢幕擷取畫面],以提供結果的意見反應,這可在指令碼分析卡的結尾找到。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群