在 Microsoft Defender 中使用 Microsoft Copilot 進行腳本分析

適用於：

• Microsoft Defender XDR
• Microsoft Defender整合安全性作業中心 (SOC) 平臺

透過來自 Microsoft Defender 入口網站中 Microsoft Copilot for Security 的 AI 支援調查功能，安全性小組可以加速分析惡意或可疑的腳本和命令行。

最複雜且複雜的攻擊，例如 勒索軟體 透過許多方式規避偵測，包括使用腳本和PowerShell命令行。 此外，這些指令碼通常被模糊化，這也增加了偵測和分析的複雜性。 安全性作業小組需要快速分析腳本，以瞭解功能並套用適當的防護功能，立即阻止攻擊在網路內進一步進行。

腳本分析功能可讓安全性小組在不使用外部工具的情況下，新增檢查腳本的容量。 此功能也可降低分析的複雜性，將挑戰減到最小，並允許安全性小組快速評估指令碼，並識別指令碼為惡意或良性。 腳本分析也可透過 Microsoft Defender 全面偵測回應 外掛程式 Copilot for Security 獨立體驗中使用。 深入瞭解 Copilot for Security 中預安裝的外掛程式。

本指南說明什麼是指令碼分析功能及其運作方式，包括您可以如何針對產生的結果提供意見反應。

分析腳本

您可以在事件頁面和 裝置時間軸上事件圖表下方的攻擊故事記憶體取腳本分析功能。

若要開始分析，請執行下列步驟:

1. 開啟事件頁面，然後選取左窗格上的專案，以開啟事件圖表下方的攻擊故事。 在攻擊案例中，選取具有您要分析之腳本或命令行的事件。 按兩下 [分析 ] 以開始分析。

   

   或者，您可以選取要在裝置時程表檢視中檢查的事件。 在 [檔案詳細數據] 窗格中，選取 [ 分析 ] 以執行腳本分析功能。

   

2. Copilot 會執行腳本分析，並在 [Copilot] 窗格中顯示結果。 選 取 [顯示程序代碼 ] 以展開腳本，或選取 [隱藏程序代碼 ] 以關閉展開。

   

3. 選取文本分析卡片右上方的 [其他動作] 省略號 (...) ，以複製或重新產生結果，或在 Copilot for Security 獨立體驗中檢視結果。 選取 [在 Copilot for Security 中開啟] 會開啟新的索引標籤到 Copilot 獨立入口網站，您可以在其中輸入提示並存取其他外掛程式。

   

4. 檢閱結果。 您可以選取意見反應圖示 [Defender 卡片 ]，以提供結果的意見反應。可在腳本分析卡片的結尾找到。

另請參閱

• 分析檔案
• 產生裝置摘要
• 使用引導式回應來回應事件
• 產生 KQL 查詢
• 建立事件報告
• 開始使用 Microsoft Copilot for Security
• 瞭解其他 Copilot for Security 內嵌體驗

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。