Análise de script com o Microsoft Copilot no Microsoft Defender

Por meio dos recursos de investigação da plataforma AI do Microsoft Copilot para Segurança no portal do Microsoft Defender, as equipes de segurança podem acelerar a análise de scripts e linhas de comando mal-intencionados ou suspeitos.

Esse guia descreve o que é o recurso de análise de script e como ele funciona, incluindo como você pode fornecer comentários sobre os resultados gerados.

Antes de começar

Se não estiver familiarizado com o Copilot for Security, deverá familiarizar-se com o mesmo ao ler os seguintes artigos:

Os ataques mais complexos e sofisticados, como o ransomware, evitam a detecção de várias maneiras, incluindo o uso de scripts e linhas de comando do PowerShell. Além disso, esses scripts geralmente são ofuscados, o que aumenta a complexidade da detecção e da análise. As equipes de operações de segurança precisam analisar rapidamente os scripts para compreender os recursos e aplicar a mitigação adequada, impedindo imediatamente que os ataques avancem em uma rede.

O recurso de análise de scripts oferece às equipes de segurança maior capacidade de inspecionar scripts sem usar ferramentas externas. Essa funcionalidade também reduz a complexidade da análise, minimizando os desafios e permitindo que as equipes de segurança avaliem e identifiquem rapidamente um script como mal-intencionado ou benigno.

Copilot for Security integration in Microsoft Defender

A capacidade de análise de scripts está disponível no portal do Microsoft Defender para clientes que tenham aprovisionado acesso ao Copilot for Security.

A análise de scripts também está disponível na experiência autônoma do Copilot para Segurança por meio do plug-in do Microsoft Defender XDR. Saiba mais sobre os plug-ins pré-instalados no Copilot para Segurança.

Principais recursos

Você pode acessar o recurso de análise de script na história do ataque, abaixo do gráfico do incidente em uma página de incidente e na linha do tempo do dispositivo.

Para iniciar a análise, execute as seguintes etapas:

  1. Abra uma página de incidente e selecione um item no painel esquerdo para abrir a história do ataque abaixo do gráfico do incidente. Na história do ataque, selecione um evento com um script ou linha de comando que você deseja analisar. Clique em Analisar para iniciar a análise.

    Captura de ecrã a mostrar o botão de análise de scripts na vista de história de ataque.

    Como alternativa, você pode selecionar um evento para inspecionar na visualização da linha do tempo do dispositivo. No painel de detalhes do arquivo, selecione Analisar para executar o recurso de análise de script.

    Captura de ecrã a mostrar o botão Analisar na linha do tempo do dispositivo.

  2. O Copilot executa a análise do script e exibe os resultados no painel Copilot. Selecione Mostrar código para expandir o script ou Ocultar código para fechar a expansão.

    Captura de ecrã que mostra o painel Copilot com os resultados da análise de scripts na página Microsoft Defender XDR incidente.

  3. Selecione as reticências (...) Mais ações no canto superior direito do cartão de análise de script para copiar ou regenerar os resultados, ou exibir os resultados na experiência autônoma do Copilot para Segurança. A seleção de Abrir no Copilot para Segurança abre uma nova guia no portal autônomo do Copilot, no qual é possível inserir prompts e acessar outros plug-ins.

    Captura de ecrã a mostrar a opção Mais ações no card de análise do script Copilot.

  4. Reveja os resultados e utilize as informações para orientar a investigação e a resposta ao incidente.

Pedido de análise de script de exemplo

No portal autónomo Copilot for Security, pode utilizar o seguinte pedido para identificar e analisar scripts:

  • Identifique os scripts no incidente do Defender {incident ID}. São scripts maliciosos?

Dica

Ao analisar scripts no portal Copilot for Security, a Microsoft recomenda incluir a palavra Defender nos seus pedidos para garantir que a capacidade de análise de scripts fornece os resultados.

Faça comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Você pode fornecer comentários sobre os resultados selecionando o ícone de comentários Captura de tela do ícone de comentários do Copilot nos cartões do Defender. encontrado no final do cartão de análise de script.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.