使用 Microsoft Defender 中的 Microsoft Copilot 進行指令碼分析
透過 Microsoft Defender 入口網站中的 Microsoft Copilot for Security 的 AI 支援的調查功能,安全性小組可以加速其對惡意或可疑的指令碼和命令行的分析。
大多數複雜且繁複的攻擊 (例如 勒索軟體) 會透過多種方式 (包括使用指令碼和 PowerShell 命令行) 來避免偵測。 此外,這些指令碼通常被模糊化,這也增加了偵測和分析的複雜性。 安全性作業小組需要快速分析指令碼,以瞭解功能並套用適當的緩和措施,立即阻止攻擊在網路中進一步展開。
指令碼分析功能提供安全性小組新增功能,以在不需要使用外部工具的情況下,檢查指令碼。 此功能也可降低分析的複雜性,將挑戰減到最小,並允許安全性小組快速評估指令碼,並識別指令碼為惡意或良性。 指令碼分析也可透過 Microsoft Defender 全面偵測回應外掛程式,在 Copilot for Security 獨立體驗中取得。 深入瞭解 Copilot for Security 中預先安裝的外掛程式。
本指南說明什麼是指令碼分析功能及其運作方式,包括您可以如何針對產生的結果提供意見反應。
分析指令碼
您可以在事件頁面上和 裝置時間軸 中的事件圖表下方的攻擊故事存取指令碼分析功能。
若要開始分析,請執行下列步驟:
開啟事件頁面,然後選取左窗格上的項目,以開啟事件圖表下方的攻擊故事。 在攻擊故事中,選取具有您要分析之指令碼或命令行的事件。 點擊 [分析] 以開始分析。
或者,您可以選取要在裝置時間表檢視中檢查的事件。 在 [檔案詳細資料] 窗格中,選取 [分析] 以執行指令碼分析功能。
Copilot 會執行指令碼分析,並在 [Copilot] 窗格中顯示結果。 選取 [顯示程式碼] 以展開指令碼,或選取 [隱藏程式碼] 以關閉展開。
選取指令碼分析卡右上角的 [其他動作] 省略號 (...),以複製或重新產生結果,或在 Copilot for Security 獨立體驗中檢視結果。 選取 [在 Copilot for Security 中開啟] 會開啟新的 Copilot 獨立入口網站,您可以在此輸入提示並存取其他外掛程式。
檢閱結果。 您可以選取意見反應圖示 ,以提供結果的意見反應,這可在指令碼分析卡的結尾找到。
另請參閱
- 分析檔案
- 產生裝置摘要
- 使用引導式回應來回應事件
- 產生 KQL 查詢
- 建立事件報告
- 開始使用 Microsoft Copilot for Security
- 深入瞭解其他的 Copilot for Security 內嵌體驗
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。