Microsoft Defender의 Microsoft Copilot

적용 대상:

• Microsoft Defender XDR
• Microsoft Defender SOC(통합 보안 운영 센터) 플랫폼

보안용 Microsoft Copilot 는 AI와 인간의 전문 지식을 결합하여 보안 팀이 공격에 더 빠르고 효과적으로 대응할 수 있도록 지원합니다. 보안용 Copilot는 보안 팀이 인시던트를 효율적으로 요약하고, 스크립트 및 코드를 분석하고, 파일을 분석하고, 디바이스 정보를 요약하고, 단계별 응답을 사용하여 인시던트를 해결하고, KQL 쿼리를 생성하고, 인시던트 보고서를 만들 수 있도록 Microsoft Defender 포털에 포함되어 있습니다.

이 문서에서는 액세스 단계, 주요 기능 및 이러한 기능의 세부 정보에 대한 링크를 포함하여 Defender의 Copilot 사용자에 대한 개요를 제공합니다.

Defender에서 Copilot 액세스

Defender에서 Copilot에 액세스할 수 있는지 확인하려면 보안 구매 및 라이선스 정보를 위한 Copilot를 참조하세요. 보안용 Copilot에 액세스할 수 있게 되면 아래에 설명된 주요 기능은 Microsoft Defender 포털에서 액세스할 수 있게 됩니다.

전문가와 같은 인시던트 조사 및 대응

보안 팀이 쉽고 정밀하게 적시에 공격 조사를 처리할 수 있도록 합니다. Copilot는 팀이 공격을 즉시 이해하고, 의심스러운 파일 및 스크립트를 신속하게 분석하고, 공격을 중지하고 포함하기 위한 적절한 완화를 신속하게 평가하고 적용하는 데 도움이 됩니다.

인시던트를 빠르게 요약

여러 경고가 있는 인시던트를 조사하는 것은 어려운 작업일 수 있습니다. 인시던트를 즉시 이해하려면 Copilot를 탭하여 인시던트를 요약할 수 있습니다. Copilot는 공격에 대한 개요를 만듭니다. 개요에는 공격에서 발생한 내용, 관련된 자산 및 공격 타임라인을 이해하기 위한 필수 정보가 포함되어 있습니다. 인시던트 페이지로 이동할 때 Copilot는 자동으로 요약을 만듭니다.

단계별 응답을 통해 인시던트에 대한 조치 수행

인시던트를 해결하려면 분석가가 어떤 솔루션이 적절한지 알기 위해 공격을 이해해야 합니다. Copilot는 각 인시던트와 관련된 단계별 대응 을 통해 솔루션을 권장합니다.

쉽게 스크립트 분석 실행

공격자 대부분은 감지 및 분석을 방지하기 위해 공격을 시작할 때 정교한 맬웨어를 사용합니다. 이러한 맬웨어는 일반적으로 난독 제거되며 PowerShell의 스크립트 또는 명령줄 형식일 수 있습니다. Copilot는 스크립트를 신속하게 분석하여 조사 시간을 줄일 수 있습니다.

장치 요약 생성

인시던트에 관련된 디바이스를 조사하는 작업은 작업 작업일 수 있습니다. Copilot는 디바이스를 신속하게 평가하기 위해 디바이스의 보안 상태, 비정상적인 동작, 취약한 소프트웨어 목록 및 관련 Microsoft Intune 정보를 포함하여 디바이스 정보를 요약할 수 있습니다.

즉시 파일 분석

Copilot는 보안 팀이 파일 분석을 통해 의심스러운 파일을 신속하게 평가하고 이해하는 데 도움이 됩니다. Copilot는 검색 정보, 관련 파일 인증서, API 호출 목록 및 파일에 있는 문자열을 포함하여 파일의 요약을 제공합니다.

인시던트 보고서를 효율적으로 작성

보안 운영 팀은 일반적으로 수행한 대응 조치 및 해당 결과, 관련된 팀 구성원 및 향후 보안 결정 및 학습을 지원하는 기타 정보를 포함하여 중요한 정보를 기록하는 보고서를 작성합니다. 종종 인시던트를 문서화하는 데 시간이 오래 걸릴 수 있습니다. 인시던트 보고서를 적용하려면 누구와 언제 어떤 작업이 수행되었는지를 포함하여 수행된 작업과 함께 인시던트의 요약을 포함해야 합니다. Copilot는 이러한 정보를 신속하게 통합하여 인시던트 보고서를 생성 합니다.

프로처럼 사냥

Defender의 Copilot는 적절한 KQL 쿼리를 신속하게 빌드하여 보안 팀이 네트워크에서 위협을 사전에 헌팅하는 데 도움이 됩니다.

자연어 입력에서 KQL 쿼리 생성

고급 헌팅을 사용하여 네트워크에서 위협을 사전에 헌팅하는 보안 팀은 이제 위협 헌팅 컨텍스트에서 자연어 질문을 즉시 실행 가능한 KQL 쿼리로 변환하는 쿼리 도우미를 사용할 수 있습니다. 쿼리 도우미는 KQL 쿼리를 생성하여 보안 팀의 시간을 절약합니다. 이 쿼리는 분석가의 요구에 따라 자동으로 실행되거나 추가로 조정될 수 있습니다. 고급 헌팅에서 보안용 Copilot의 쿼리 도우미에 대해 자세히 알아보세요.

관련 위협 인텔리전스를 사용하여 조직 보호

보안 조직이 최신 위협 인텔리전스를 사용하여 정보에 입각한 결정을 내릴 수 있도록 합니다. Copilot는 위협 인텔리전스를 통합하고 요약하여 보안 팀이 위협의 우선 순위를 지정하고 효과적으로 대응할 수 있도록 지원합니다.

위협 인텔리전스 모니터링

Copilot에게 환경에 영향을 주는 관련 위협을 요약하거나, 노출 수준에 따라 위협 해결의 우선 순위를 지정하거나, 업계를 대상으로 할 수 있는 위협 행위자를 찾도록 요청합니다. 위협 인텔리전스의 보안용 Copilot에 대해 자세히 알아보세요.

Copilot의 데이터 보안 및 피드백

Copilot는 관리자가 정의한 설정에 따라 저장, 처리 및 공유되는데이터를 사용하여 지속적으로 발전합니다. Microsoft는 Copilot를 사용할 때 데이터가 항상 보호되고 안전한지 확인합니다. Copilot의 데이터 보안 및 개인 정보에 대한 자세한 내용은 Copilot의 개인 정보 및 데이터 보안을 참조하세요.

계속 진화하기 때문에 코필로트는 몇 가지를 놓칠 수 있습니다. 결과에 대한 피드백을 검토하고 제공하면 Copilot의 향후 응답을 개선하는 데 도움이 됩니다.

Defender 기능의 모든 Copilot에는 피드백을 제공하는 옵션이 있습니다. 피드백을 제공하려면 다음 단계를 수행합니다.

1. 피드백 아이콘 Defender 을 선택합니다. Copilot 측면 패널의 결과 카드 아래쪽에 있습니다.
2. 평가에 따라 결과가 정확하면 확인됨, 좋아 보입니다를 선택합니다. 다음 대화 상자에서 자세한 정보를 제공할 수 있습니다.
3. 평가에 따라 세부 정보가 올바르지 않거나 불완전한 경우 대상에서 벗어남, 부정확을 선택합니다. 다음 대화 상자에서 평가에 대한 자세한 정보를 제공하고 이 평가를 Microsoft에 제출할 수 있습니다.
4. 잠재적으로 유해하거나 부적절한 정보를 선택하여 의심스러거나 모호한 정보가 포함된 경우 결과를 보고할 수도 있습니다. 다음 대화 상자에서 결과에 대한 자세한 정보를 제공하고 제출을 선택합니다.

보안용 Copilot의 플러그 인

Copilot는 Microsoft Defender XDR, Defender Threat Intelligence 및 자연어와 같은 사전 설치된 Microsoft 플러그 인 을 Microsoft Sentinel 및 Defender XDR 플러그 인용 KQL에 사용하여 관련 정보를 생성하고, 인시던트에 더 많은 컨텍스트를 제공하고, 보다 정확한 결과를 생성합니다. 관련 데이터에 대한 액세스를 허용하고 조직의 다른 Microsoft 서비스에서 요청된 콘텐츠를 생성하기 위해 Copilot에서 플러그 인이 켜져 있는지 확인합니다.

다음 단계

• 인시던트를 요약하는 방법 알아보기
• 인시던트에 대응할 때 단계별 응답 사용
• 스크립트 분석 실행
• 파일 분석
• 디바이스 요약 생성
• KQL 쿼리 생성
• 인시던트 보고서 만들기
• 위협 인텔리전스 사용

참고 항목

• Copilot for Security 시작하기
• Copilot의 개인 정보 보호 및 데이터 보안
• 책임 있는 AI FAQ
• 보안 포함 환경을 위한 기타 Copilot

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.