Dela via

Skriptanalys med Microsoft Copilot i Microsoft Defender

  • Artikel

Gäller för:

  • Microsoft Defender XDR
  • Microsoft Defender SOC-plattform (Unified Security Operations Center)

Med hjälp av AI-baserade undersökningsfunktioner från Microsoft Copilot for Security i Microsoft Defender-portalen kan säkerhetsteam påskynda analysen av skadliga eller misstänkta skript och kommandorader.

De flesta komplexa och sofistikerade attacker som utpressningstrojaner undviker identifiering på flera olika sätt, inklusive användning av skript och PowerShell-kommandorader. Dessutom är dessa skript ofta dolda, vilket ökar komplexiteten i identifiering och analys. Säkerhetsteam måste snabbt analysera skript för att förstå funktioner och tillämpa lämplig åtgärd, och omedelbart stoppa attacker från att gå vidare i ett nätverk.

Funktionen för skriptanalys ger säkerhetsteam ökad kapacitet för att inspektera skript utan att använda externa verktyg. Den här funktionen minskar också komplexiteten i analys, minimerar utmaningar och gör det möjligt för säkerhetsteam att snabbt utvärdera och identifiera ett skript som skadligt eller ofarligt. Skriptanalys är också tillgängligt i Copilot for Security fristående upplevelse via Microsoft Defender XDR plugin-programmet. Läs mer om förinstallerade plugin-program i Copilot for Security.

Den här guiden beskriver vad funktionen för skriptanalys är och hur den fungerar, inklusive hur du kan ge feedback om de resultat som genereras.

Analysera ett skript

Du kan komma åt skriptanalysfunktionen i attackberättelsen under incidentdiagrammet på en incidentsida och i enhetens tidslinje.

Utför följande steg för att påbörja analysen:

  1. Öppna en incidentsida och välj sedan ett objekt i den vänstra rutan för att öppna attackberättelsen under incidentdiagrammet. I attackberättelsen väljer du en händelse med ett skript eller en kommandorad som du vill analysera. Klicka på Analysera för att starta analysen.

    Skärmbild som visar knappen för skriptanalys i vyn attackberättelse.

    Alternativt kan du välja en händelse att inspektera i enhetens tidslinjevy. I fönstret filinformation väljer du Analysera för att köra skriptanalysfunktionen.

    Skärmbild som visar knappen Analysera på enhetens tidslinje.

  2. Copilot kör skriptanalys och visar resultatet i Copilot-fönstret. Välj Visa kod för att expandera skriptet eller Dölj kod för att stänga expansionen.

    Skärmbild av Copilot-fönstret med skriptanalysresultat på sidan Microsoft Defender XDR incident.

  3. Välj ellipsen Fler åtgärder (...) längst upp till höger på skriptanalyskortet för att kopiera eller återskapa resultaten, eller visa resultatet i den Copilot for Security fristående upplevelsen. Om du väljer Öppna i Copilot for Security öppnas en ny flik i den fristående Copilot-portalen där du kan ange frågor och komma åt andra plugin-program.

    Skärmbild som visar alternativet Fler åtgärder i copilot-skriptanalyskortet.

  4. Granska resultaten. Du kan ge feedback om resultaten genom att välja feedbackikonen Skärmbild av feedbackikonen för Copilot i Defender-kort. Finns i slutet av skriptanalyskortet.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.