Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Durch KI-gestützte Untersuchungsfunktionen von Microsoft Security Copilot im Microsoft Defender-Portal können Sicherheitsteams ihre Analyse bösartiger oder verdächtiger Skripts und Befehlszeilen beschleunigen.
In diesem Leitfaden wird beschrieben, was die Skriptanalysefunktion ist und wie sie funktioniert, einschließlich, wie Sie Feedback zu den generierten Ergebnissen geben können.
Bevor Sie anfangen
Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit den folgenden Artikeln vertraut machen:
- Was ist Security Copilot?
- Security Copilot Erfahrungen
- Erste Schritte mit Security Copilot
- Verstehen der Authentifizierung in Security Copilot
- Eingabeaufforderung in Security Copilot
Die meisten komplexen und ausgeklügelten Angriffe wie Microsoft-Leitfaden zu Ransomware entgehen der Erkennung auf vielfältige Weise, unter anderem durch die Verwendung von Skripts und PowerShell-Befehlen. Darüber hinaus werden diese Skripts häufig verschleiert, was die Komplexität der Erkennung und Analyse erhöht. Sicherheitsteams müssen Skripts schnell analysieren, um die Funktionen zu verstehen und geeignete Entschärfungen anzuwenden, um angriffe sofort daran zu hindern, innerhalb eines Netzwerks weiter zu gehen.
Die Skriptanalysefunktion bietet Sicherheitsteams zusätzliche Kapazität zum Überprüfen von Skripts, ohne externe Tools zu verwenden. Die Skriptanalysefunktion reduziert auch die Komplexität der Analyse, minimiert Herausforderungen und ermöglicht es Sicherheitsteams, ein Skript schnell als böswillig oder gutartig zu bewerten und zu identifizieren.
Security Copilot-Integration in Microsoft Defender
Die Skriptanalysefunktion ist im Microsoft Defender-Portal für Kunden verfügbar, die Zugriff auf Security Copilot bereitgestellt haben.
Die Skriptanalyse ist auch in der Security Copilot eigenständigen Oberfläche über das Microsoft Defender XDR-Plug-In verfügbar. Informationen zum Microsoft Defender XDR-Plug-In finden Sie unter vorinstallierte Plug-Ins in Security Copilot.
Wichtige Funktionen zur Skriptanalyse
Sie können auf die Skriptanalysefunktion innerhalb der Angriffsgeschichte unterhalb des Vorfalldiagramms auf einer Vorfallseite und in der Gerätezeitachse untersuchen zugreifen.
Führen Sie die folgenden Schritte aus, um mit der Analyse zu beginnen:
Öffnen Sie eine Incidentseite, und wählen Sie dann im linken Bereich ein Element aus, um die Angriffsmeldung unterhalb des Incidentdiagramms zu öffnen. Wählen Sie innerhalb der Angriffsgeschichte ein Ereignis mit einem Skript oder einer Befehlszeile aus, das Sie analysieren möchten. Klicken Sie auf Analysieren, um die Analyse zu starten.
Alternativ können Sie ein Ereignis auswählen, das in der Zeitachsenansicht des Geräts überprüft werden soll. Wählen Sie im Dateidetailsbereich Analysieren aus, um die Skriptanalysefunktion auszuführen.
Copilot führt die Skriptanalyse aus und zeigt die Ergebnisse im Bereich "Copilot" an. Wählen Sie Code anzeigen aus, um das Skript zu erweitern, oder Code ausblenden, um die Erweiterung zu schließen.
Wählen Sie MITRE-Techniken anzeigen aus, um die dem Skript zugeordneten MITRE ATT&CK-Techniken anzuzeigen. Diese Informationen helfen Ihnen, die vom Skript verwendeten Techniken zu verstehen und wie sich dies auf Ihre Umgebung auswirken kann. Wählen Sie MITRE-Techniken ausblenden aus, um die Erweiterung zu schließen.
Wählen Sie die Weitere Aktionen-Ellipse (...) oben rechts auf der Karte „Skriptanalyse“ aus, um die Ergebnisse zu kopieren oder neu zu generieren oder um die Ergebnisse in der eigenständigen Benutzeroberfläche von Security Copilot anzuzeigen. Wenn Sie In Security Copilot öffnen auswählen, wird eine neue Registerkarte zum eigenständigen Copilot-Portal geöffnet, auf der Sie Eingabeaufforderungen eingeben und auf andere Plug-Ins zugreifen können.
Überprüfen Sie die Ergebnisse, und verwenden Sie die Informationen, um Ihre Untersuchung und Reaktion auf den Vorfall zu steuern.
Beispiel-Prompt für die Skriptanalyse
Im Security Copilot eigenständigen Portal können Sie die folgende Aufforderung verwenden, Skripts zu identifizieren und zu analysieren:
- Identifizieren Sie die Skripts in Defender Incident {incident ID}. Handelt es sich um schädliche Skripts?
Tipp
Bei der Analyse von Skripts im Security Copilot-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen aufzunehmen, um sicherzustellen, dass die Skriptanalysefunktion die Ergebnisse liefert.
Bereitstellen von Feedback zur Skriptanalyse
Microsoft empfiehlt Ihnen dringend, Copilot Feedback zu geben, da dies für die kontinuierliche Verbesserung einer Funktion von entscheidender Bedeutung ist. Sie können Feedback zu den Ergebnissen geben, indem Sie das Feedbacksymbol
am Ende der Skriptanalysekarte gefunden.
Verwandte Inhalte
- Erfahren Sie mehr über andere in Security Copilot integrierte Funktionen
- Datenschutz und Datensicherheit in Security Copilot
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.