다음을 통해 공유

보안 및 Microsoft Defender 위협 인텔리전스용 Microsoft Copilot

  • 아티클

중요

2024년 6월 30일에 Defender TI(Microsoft Defender Threat Intelligence) 독립 실행형 포털(https://ti.defender.microsoft.com)이 사용 중지되고 더 이상 액세스할 수 없게 됩니다. 고객은 Microsoft Defender 포털 또는 보안용 Microsoft Copilot에서 Defender TI를 계속 사용할 수 있습니다. 자세한 정보

보안용 Microsoft Copilot는 자연어 부조종사 환경을 제공하는 클라우드 기반 AI 플랫폼입니다. 인시던트 대응, 위협 헌팅 및 인텔리전스 수집과 같은 다양한 시나리오에서 보안 전문가를 지원하는 데 도움이 됩니다. 수행할 수 있는 작업에 대한 자세한 내용은 보안용 Microsoft Copilot란?을 참조하세요.

보안용 Copilot는 Microsoft Defender 위협 인텔리전스와 통합됩니다.

보안용 Copilot는 위협 행위자, IOC(손상 지표), 도구 및 취약성뿐만 아니라 Microsoft Defender TI(위협 인텔리전스)의 컨텍스트 위협 인텔리전스에 대한 정보를 제공합니다. 프롬프트 및 프롬프트북을 사용하여 인시던트 조사, 위협 인텔리전스 정보로 헌팅 흐름 보강 또는 조직 또는 글로벌 위협 환경에 대한 자세한 정보를 얻을 수 있습니다.

이 문서에서는 Copilot를 소개하고 Defender TI 사용자를 도울 수 있는 샘플 프롬프트를 포함합니다.

시작하기 전에 다음 사항에 유의합니다.

  • Copilot 기능을 사용하여 Copilot for Security 포털 또는 Microsoft Defender 포털에서 위협 인텔리전스를 노출할 수 있습니다. 보안 환경을 위한 Copilot에 대해 자세히 알아보기

  • 프롬프트에 명확하고 구체적으로 입력합니다. 프롬프트에 특정 위협 행위자 이름 또는 IOC를 포함하는 경우 더 나은 결과를 얻을 수 있습니다. 다음과 같이 프롬프트에 위협 인텔리전스 를 추가하는 경우에도 도움이 될 수 있습니다.

    • Aqua Blizzard에 대한 위협 인텔리전스 데이터를 보여 주세요.
    • "malicious.com"에 대한 위협 인텔리전스 데이터를 요약합니다.

  • 인시던트를 참조할 때 구체적으로 설명합니다(예: "인시던트 ID 15324").

  • 사용 사례에 가장 적합한 것을 알 수 있도록 다양한 프롬프트와 변형을 실험합니다. 채팅 AI 모델은 다양하므로 받는 결과를 바탕으로 프롬프트를 반복하고 상세 검색합니다.

  • 보안용 Copilot는 프롬프트 세션을 저장합니다. 이전 세션을 보려면 Copilot 홈 메뉴에서내 세션으로 이동합니다.

    내 세션이 강조 표시된 보안 홈용 Microsoft Copilot 메뉴를 보여 주는 스크린샷

    참고

    핀 및 공유 기능을 포함하여 Copilot에 대한 연습은 보안용 Microsoft Copilot 탐색을 참조하세요.

효과적인 프롬프트 만들기에 대해 자세히 알아보기

보안 독립 실행형 포털에 Copilot를 사용하여 위협 인텔리전스 가져오기

  1. 보안용 Microsoft Copilot로 이동하여 자격 증명으로 로그인합니다.

  2. Defender TI 플러그 인이 켜져 있는지 확인합니다. 프롬프트 표시줄에서 원본 아이콘 원본 아이콘 스크린샷을 선택합니다.

    원본 아이콘이 강조 표시된 보안용 Microsoft Copilot의 프롬프트 표시줄 스크린샷

    표시되는 원본 관리 팝업 창의 플러그 인 아래에서 Microsoft Defender 위협 인텔리전스 토글이 켜져 있는지 확인한 다음 창을 닫습니다.

    Microsoft Defender Threat Intelligence 플러그 인이 강조 표시된 플러그 인 관리 팝업 창의 스크린샷

    참고

    일부 역할은 Defender TI와 같은 플러그 인에 대해 토글을 켜거나 끌 수 있습니다. 자세한 내용은 Microsoft Copilot for Security의 플러그 인 관리를 참조하세요.

  3. 프롬프트 표시줄에 프롬프트를 입력합니다.

기본 제공 시스템 기능

보안용 Copilot에는 켜져 있는 다른 플러그 인에서 데이터를 가져올 수 있는 기본 제공 시스템 기능이 있습니다.

Defender TI에 대한 기본 제공 시스템 기능 목록을 보려면 다음을 수행합니다.

  1. 프롬프트 표시줄에서 프롬프트 아이콘 프 롬프트 아이콘 스크린샷을 선택합니다.

    프롬프트 아이콘이 강조 표시된 보안용 Microsoft Copilot의 프롬프트 표시줄 스크린샷

  2. 모든 시스템 기능 보기를 선택합니다. Microsoft Defender 위협 인텔리전스 섹션에는 사용할 수 있는 Defender TI에 사용할 수 있는 모든 기능이 나열됩니다.

Copilot에는 Defender TI의 정보도 제공하는 다음과 같은 프롬프트북이 있습니다.

  • 위협 행위자 프로필 – 일반적인 도구 및 전술에 대한 방어 제안을 포함하여 알려진 위협 행위자를 프로파일링하는 보고서를 생성합니다.
  • 취약성 영향 평가 – 문제를 해결하는 방법에 대한 단계를 포함하여 알려진 취약성에 대한 인텔리전스를 요약하는 보고서를 생성합니다.

이러한 프롬프트북을 보려면 프롬프트 표시줄에서 프롬프트 아이콘을 선택한 다음 , 모든 프롬프트북 보기를 선택합니다.

Defender TI에 대한 샘플 프롬프트

많은 프롬프트를 사용하여 Defender TI에서 정보를 가져올 수 있습니다. 이 섹션에서는 몇 가지 아이디어와 예를 소개합니다.

위협 문서 및 위협 행위자에서 위협 인텔리전스를 가져옵니다.

샘플 프롬프트 :

  • 최근 위협 인텔리전스를 요약합니다.
  • 최신 위협 문서를 보여 주세요.
  • 지난 6개월 동안 랜섬웨어와 관련된 위협 문서를 가져옵니다.

위협 인텔리전스와 관련된 IP 주소 및 호스트 컨텍스트 정보

포트, 평판 점수, 구성 요소, 인증서, 쿠키, 서비스 및 호스트 쌍과 같은 IP 주소 및 호스트와 연결된 데이터 세트에 대한 정보를 가져옵니다.

샘플 프롬프트:

  • 호스트 호스트< 이름의> 평판을 표시합니다.
  • IP 주소 <IP 주소>에 대한 해결을 가져옵니다.

위협 행위자 매핑 및 인프라

위협 행위자 및 TTP(전술, 기술 및 절차), 스폰서 주, 산업 및 IIO와 관련된 정보를 가져옵니다.

샘플 프롬프트:

  • 실크 태풍에 대해 자세히 말해주세요.
  • 실크 태풍과 관련된 IOC를 공유합니다.
  • 실크 태풍과 관련된 TTP를 공유합니다.
  • 러시아와 관련된 위협 행위자를 공유합니다.

CVE별 취약성 데이터

CVE(Common Vulnerabilities and Exposures)에 대한 컨텍스트 정보 및 위협 인텔리전스를 가져옵니다.

샘플 프롬프트:

  • 취약성 CVE-2021-44228에 취약한 기술을 공유합니다.
  • 취약성 CVE-2021-44228을 요약합니다.
  • 최신 CVE를 보여 주세요.
  • CVE-2021-44228과 관련된 위협 행위자를 표시합니다.
  • CVE-2021-44228과 관련된 위협 문서를 보여 주세요.

피드백 제공

보안용 Copilot와 Defender TI 통합에 대한 피드백은 개발에 도움이 됩니다. 피드백을 제공하려면 Copilot에서 이 응답은 어떻게 합니까? 를 선택합니다. 완료된 각 프롬프트의 맨 아래에서 다음 옵션 중 하나를 선택합니다.

  • 올바른 모양 - 평가에 따라 결과가 정확한 경우 이 단추를 선택합니다.
  • 개선 필요 - 평가에 따라 결과의 세부 정보가 잘못되거나 불완전한 경우 이 단추를 선택합니다.
  • 부적절한 - 결과에 의심스러우거나 모호하거나 잠재적으로 유해한 정보가 포함된 경우 이 단추를 선택합니다.

각 피드백 단추에 대해 표시되는 다음 대화 상자에서 자세한 정보를 제공할 수 있습니다. 가능하면 결과가 개선이 필요하면 결과를 개선하기 위해 수행할 수 있는 작업을 설명하는 몇 가지 단어를 작성합니다. Defender TI와 관련된 프롬프트를 입력했고 결과가 관련되지 않은 경우 해당 정보를 포함합니다.

Defender에서 Microsoft Copilot를 사용하여 위협 인텔리전스 가져오기

보안용 Copilot 고객은 인증된 각 Copilot 사용자에 대해 Microsoft Defender 포털 내에서 Defender TI에 액세스할 수 있습니다. Copilot에 액세스할 수 있는지 확인하려면 보안 구매 및 라이선스 정보를 위한 Copilot를 참조하세요.

보안용 Copilot에 액세스할 수 있게 되면 다음 섹션에서 설명하는 주요 기능은 Defender 포털의 다음 위협 인텔리전스 섹션에서 액세스할 수 있습니다.

  • 위협 분석
  • Intel 프로필
  • Intel 탐색기
  • Intel 프로젝트

주요 기능

Defender의 Copilot는 보안 팀이 위협 인텔리전스 정보를 즉시 이해하고, 우선 순위를 지정하고, 조치를 취할 수 있도록 보안 기능을 위한 Copilot를 포털에 제공합니다.

위협 행위자, 공격 캠페인 또는 자세히 알고 싶은 기타 위협 인텔리전스에 대해 질문할 수 있으며 Copilot는 위협 분석 보고서, 인텔 프로필 및 문서 및 기타 Defender TI 콘텐츠를 기반으로 응답을 생성합니다. 다음 작업을 수행할 수 있는 사용 가능한 기본 제공 프롬프트를 선택할 수도 있습니다.

  • 조직과 관련된 최신 위협 요약
  • 이러한 위협에 대한 환경의 가장 높은 노출 수준에 따라 집중할 위협의 우선 순위를 지정합니다.
  • 통신 인프라 산업을 대상으로 하는 위협 행위자 질문

위협 인텔리전스용 Defender에서 Copilot 사용에 대해 자세히 알아보기

데이터 처리 및 개인 정보

보안용 Copilot와 상호 작용하여 Defender TI 데이터를 가져오면 Copilot는 Defender TI에서 해당 데이터를 가져옵니다. 프롬프트, 검색된 데이터 및 프롬프트 결과에 표시된 출력은 Copilot 서비스 내에 처리되고 저장됩니다. 보안용 Microsoft Copilot의 개인 정보 보호 및 데이터 보안에 대해 자세히 알아보기

참고 항목