Анализ файлов с помощью Microsoft Copilot в Microsoft Defender

Microsoft Copilot для безопасности на портале Microsoft Defender позволяет группам безопасности быстро выявлять вредоносные и подозрительные файлы с помощью возможностей анализа файлов на основе ИИ.

Перед началом работы

Если вы не знакомы с Copilot for Security, ознакомьтесь со следующими статьями:

• Что такое Copilot для безопасности?
• Возможности Copilot для обеспечения безопасности
• Начало работы с Copilot для безопасности
• Общие сведения о проверке подлинности в Copilot для безопасности
• Запрос в Copilot для безопасности

Командам по обеспечению безопасности для отслеживания и устранения атак требуются инструменты и методы для быстрого анализа потенциально вредоносных файлов. При сложных атаках часто используются файлы, которые имитируют допустимые или системные файлы, чтобы избежать обнаружения. Кроме того, новым аналитикам безопасности может потребоваться время и значительный опыт для использования доступных средств и методов анализа.

Возможности анализа файлов Copilot в Defender снижают барьер для обучения анализу файлов, немедленно предоставляя надежные и полные результаты исследования файлов. Эта возможность позволяет аналитикам безопасности всех уровней завершать расследование с более коротким временем. Отчет содержит общие сведения о файле, сведения о его содержимом и сводку по оценке файла.

Интеграция Copilot for Security в Microsoft Defender

Возможность анализа файлов доступна в Microsoft Defender для клиентов, которые подготовили доступ к Copilot for Security.

Пользователи автономного портала Copilot for Security также имеют возможность анализа файлов и другие возможности Defender XDR через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Copilot для безопасности.

Основные возможности

Результаты анализа файлов, созданные Copilot, обычно содержат следующие сведения:

• Обзор — содержит оценку файла, включая имя обнаружения, когда файл является вредоносным или потенциально нежелательным, важные сведения о файлах, такие как сертификаты и подписыватель, а также сводку содержимого файла, который участвует в оценке.
• Сведения — выделяет строки, найденные в файле, перечисляет вызовы API , которые использует файл, и выводит сведения о соответствующих сертификатах файла.

Доступ к возможности анализа файлов можно получить следующими способами:

• Откройте страницу файла. Copilot автоматически создает анализ при открытии страницы файла. Результаты, в которых по умолчанию отображаются общие сведения, отображаются на панели Copilot.
  Выберите Показать сведения (показано выше), чтобы отобразить полные результаты, или Скрыть сведения (выделенные ниже), чтобы свести к минимуму результаты.
• На странице инцидента выберите файл для исследования в графе истории атаки . Вы также можете выбрать файл для изучения на странице оповещений. Выберите файл для исследования, а затем выберите Анализ на боковой панели, чтобы начать анализ. Затем результаты отображаются на панели Copilot.

Результаты можно скопировать в буфер обмена, повторно создать результаты или открыть портал Copilot для безопасности, выбрав многоточие (...) в верхней части карта анализа файлов.

Пример запроса на анализ файлов

На автономном портале Copilot for Security можно использовать следующий запрос для создания сводки устройств:

• Расскажите о файлах в инциденте Defender {номер инцидента). Какие файлы являются вредоносными?

Предоставление отзывов

Всегда проверяйте результаты, созданные Copilot в Defender. Ваши отзывы помогают улучшить качество результатов, созданных Copilot. Щелкните значок в нижней части панели Copilot, чтобы отправить отзыв.

См. также

• Сведения о других внедренных интерфейсах Copilot для безопасности
• Конфиденциальность и безопасность данных в Copilot for Security