微軟衛士for Endpoint 現在提供即時回應腳本和工具的庫管理。安全團隊從入口網站主動上傳、組織和分析調查資產。活動事件期間不再進行中途上傳。
該功能於 2026 年 2 月 16 日推出。分析師先前在即時會議期間上傳了 PowerShell 腳本和可執行檔。這會減慢反應時間並造成團隊之間的不一致。
現在集中管理前期工具。 Copilot 會自動分析腳本以取得行為摘要和安全風險。在警報觸發之前,一切都保持井井有條並準備好審核。
首席產品經理 Ami Barayev 表示:「這項增強功能提高了營運準備情況,增強了可見性和控制力,並簡化了 SOC 工作流程。」完整公告
圖書館管理功能
集中管理包括上傳、預覽和清理。分析師在積極調查之外處理腳本。預上傳的工具會在事件發生時立即啟動。
核心能力:
- 前期 PowerShell、批次檔、執行檔
- 基於Portal的腳本內容預覽
- 一鍵刪除過時工具
- 分析師之間團隊範圍內的一致性
Copilot 整合將未知的腳本轉化為可操作的見解。它會自動產生摘要、標記風險並映射 MITRE ATT&CK 技術。
初級分析師透過自然語言解釋獲得信心。無需 PowerShell 專業知識即可理解繼承的工具集。
副駕駛腳本分析
Copilot 處理庫腳本以進行即時分析:
- 行為總結:每個腳本的作用
- 安全見解:有風險的命令或技術
- MITRE 映射:使用 ATT&CK 戰術
- 執行上下文:安全與危險操作
分析師直接在入口網站中查看 Copilot 輸出。減少高壓事件期間的執行錯誤。
副駕駛輸出範例:
腳本:cleanup_logs.ps1
行為:清除 Windows 事件日誌
風險:可能阻礙法醫調查
ATT&CK:T1070.001 – 清除事件日誌
建議:僅在遏制後使用
技術實施
從 Defender 入口網站中的即時回應頁面存取。預覽狀態:現已可用。
工作流程:
- 導航至圖書館管理
- 上傳調查腳本/工具
- 副駕駛自動分析
- 檢查摘要,刪除不需要的
- 適用於任何現場會議的工具
無需外部編輯器。門戶負責所有管理。
SOC 團隊的優勢
準備:事故發生前準備好工具
一致性:標準化腳本庫
速度:零上傳延遲
安全:副駕駛風險分析
審計:乾淨的歷史記錄和批准
初級分析師的成長速度更快。高級工程師專注於回應,而不是工具管理。
比較:之前與之後
| 方面 | 以前的 | 圖書館管理 |
|---|---|---|
| 上傳時間 | 直播期間 | 預演 |
| 組織 | 每位分析師 | 集中 |
| 劇本審查 | 外部編輯 | 門戶+副駕駛 |
| 團隊一致性 | 多變的 | 標準化 |
| 清理 | 手動的 | 一鍵式 |
| 分析 | 沒有任何 | 副駕駛 + MITRE |
推出和訪問
地位:預覽版將於 2026 年 2 月 16 日發布
地點:Defender 入口網站 > 即時回應 > 庫管理
要求:Microsoft Defender for Endpoint 許可證
團隊立即建置庫。 Copilot 分析適用於現有上傳。
最佳實踐
- 分類:按功能標記腳本(分類、修復、取證)
- 文件:將 Copilot 摘要加入操作手冊中
- 審查:每月清理未使用的工具
- 火車:將分析師引入圖書館工作流程
- 審計:追蹤腳本使用模式
FAQ
什麼時候可用?
2026 年 2 月 16 日預覽。
支援哪些文件類型?
PowerShell、批次檔、用於即時回應的執行檔。
副駕駛分析什麼?
行為、安全風險、MITRE ATT&CK 映射。
從哪裡訪問?
Defender 入口網站 > 即時回應 > 庫管理。