보안용 Copilot의 Microsoft Sentinel 인시던트
Microsoft Copilot for Security는 컴퓨터의 속도와 규모로 조직을 방어하는 데 도움이 되는 플랫폼입니다. Microsoft Sentinel은 인시던트를 분석하고 헌팅 쿼리를 생성하는 데 도움이 되는 Copilot용 플러그 인을 제공합니다.
Microsoft Sentinel 인시던트 및 데이터는 귀하가 사용하도록 설정한, 기타 정교한 Copilot for Security 원본을 사용하는 반복 프롬프트와 함께 조직을 향한 위협 및 해당 위협이 지닌 컨텍스트에 대한 광범위한 가시성을 제공합니다.
Copilot for Security에 대한 자세한 내용은 다음 문서를 참조하세요.
- Microsoft Copilot for Security 시작
- Microsoft Copilot for Security 플러그 인 관리
- Microsoft Copilot for Security의 인증 이해
Microsoft Sentinel과 Copilot for Security의 통합
Microsoft Sentinel은 Copilot for Security와 통합할 수 있는 두 개의 플러그 인을 제공합니다.
- Microsoft Sentinel(미리 보기)
- Microsoft Sentinel용 자연어에서 KQL(미리 보기).
Important
"Microsoft Sentinel" 및 "Microsoft Sentinel용 자연어에서 KQL" 플러그 인은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
Microsoft Sentinel 작업 영역 기본값 구성
Microsoft Sentinel 작업 영역을 기본값으로 구성하여 프롬프트 정확도를 높입니다.
https://securitycopilot.microsoft.com/에서 Copilot for Security로 이동합니다.
프롬프트 바에서 원본
을 엽니다.플러그 인 관리 페이지에서 토글을 켜기로 설정합니다.
Microsoft Sentinel(미리 보기) 플러그 인에서 톱니 바퀴형 아이콘을 선택합니다.
작업 영역 기본값 이름을 구성합니다.
팁
구성된 기본값과 일치하지 않는 경우, 프롬프트에서 작업 영역을 지정합니다.
예: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Defender에서의 Microsoft Sentinel과 Copilot의 통합
통합 Security 운영 플랫폼을 Microsoft Sentinel 데이터와 함께 사용하여 포함된 Copilot for Security 환경을 만듭니다. Defender 포털에서 Microsoft Sentinel의 통합된 인시던트를 통해 Defender의 Copilot이 Microsoft Sentinel 데이터와 함께 해당 기능을 사용할 수 있습니다.
예시:
- SAP(미리 보기) 솔루션 은 Microsoft Sentinel의 작업 영역에 설치됩니다.
- 근 실시간 규칙 악성 IP 주소에서 다운로드한 SAP -(미리 보기) 파일은 경고를 트리거하여 Microsoft Sentinel 인시던트를 만듭니다.
- Microsoft Sentinel은 통합 Security 운영 플랫폼에 추가되었습니다.
- 이제 Microsoft Sentinel 인시던트는 Defender XDR 인시던트와 통합됩니다.
- Microsoft Defender의 Copilot를 사용하여 인시던트 요약, 안내된 응답 및 인시던트 보고서를 확인합니다.
자세한 내용은 다음 리소스를 참조하세요.
고급 헌팅에서의 Copilot for Security와 Microsoft Sentinel의 통합
Microsoft Sentinel용 자연어에서 KQL(미리 보기) 플러그 인에서는 Microsoft Sentinel 데이터를 사용하여 KQL 헌팅 쿼리를 생성하고 실행합니다. 이 기능은 독립 실행형 환경 및 Microsoft Defender 포털의 고급 헌팅 섹션에서 사용할 수 있습니다.
참고 항목
통합 Microsoft Defender 포털에서 Defender XDR 및 Microsoft Sentinel 테이블 모두에 대한 고급 헌팅 쿼리를 생성하도록 Copilot for Security를 프롬프트할 수 있습니다. 현재 모든 Microsoft Sentinel 테이블이 지원되는 것은 아니지,만 향후 이러한 테이블에 대한 지원이 예상될 수 있습니다.
자세한 내용은 고급 헌팅에서의 Copilot for Security를 참조하세요.
Microsoft Sentinel 프롬프트 개선
Microsoft Sentinel 인시던트 조사 프롬프트 북은 효과적인 프롬프트를 만들기 위한 시작점으로 간주됩니다. 이 프롬프트북은 관련된 경고, 평판 점수, 사용자 및 장치와 함께 특정 인시던트에 대한 보고서를 제공합니다.
| 지침 | 프롬프트 |
|---|---|
| 개체 ID로 응답하는 대신, 사람이 읽을 수 있는 정보를 제공하도록 Copilot를 상기시킵니다. | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot은 당신이 누구인지 알고 있습니다. "나(me)" 대명사를 사용하여 당신과 관련된 인시던트를 찾으세요. 다음 프롬프트는 당신에게 할당된 인시던트입니다. | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| 프롬프트 응답을 단일 인시던트로 좁히면, Copilot는 컨텍스트를 알게 됩니다. | Tell me about the entities associated with that incident. |
| Copilot은 요약에 능숙합니다. 프롬프트 및 응답을 요약하려는 특정 대상 그룹을 설명하세요. | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
자세한 프롬프트 지침 및 샘플은 다음 리소스를 참조하세요.