在 Microsoft Defender 中使用 Microsoft Copilot 进行脚本分析
通过 Microsoft Defender 门户中Microsoft Copilot for Security提供的 AI 支持的调查功能,安全团队可以加快对恶意或可疑脚本和命令行的分析。
最复杂和精密的攻击(例如,勒索软件)通过多种方式(包括使用脚本和 PowerShell 命令行)来规避检测。 此外,这些脚本通常经过模糊处理,这会增加检测和分析的复杂性。 安全操作团队需要快速分析脚本,以了解功能并应用适当的缓解措施,立即阻止攻击在网络中进一步发展。
脚本分析功能让安全团队能够在不使用外部工具的情况下检查脚本。 此功能还可以降低分析的复杂性,最大程度地减少挑战,并使安全团队能够快速评估脚本并将其识别为恶意或良性脚本。 也可通过 Microsoft Defender XDR 插件在安全 Copilot 独立体验中使用脚本分析。 详细了解安全 Copilot 中的预安装插件。
本指南介绍脚本分析功能是什么及其工作原理,包括如何提供有关生成结果的反馈。
分析脚本
可以在事件页的事件图下方的攻击情景和设备时间线中访问脚本分析功能。
若要开始分析,请执行以下步骤:
打开事件页,然后在左窗格中选择项目,以打开事件图下方的攻击情景。 在攻击情景中,选择包含要分析的脚本或命令行的事件。 点击“分析”以开始分析。
或者,可以选择要在设备时间线视图中检查的事件。 在“文件详细信息”窗格中,选择“分析以运行脚本分析功能。
Copilot 运行脚本分析并在 Copilot 窗格中显示结果。 选择“显示代码”以展开脚本,或者选择“隐藏代码”以关闭扩展。
选择脚本分析卡右上角的“更多操作”省略号 (...) 以复制或重新生成结果,或在安全 Copilot 独立体验中查看结果。 选择“在安全 Copilot 中打开”将打开 Copilot 独立门户的新选项卡,可在其中输入提示并访问其他插件。
查看结果。 可以选择反馈图标以提供有关结果的反馈 在脚本分析卡的末尾找到。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。