Copilot for Security의 Azure Web Application Firewall 통합(미리 보기)

Important

Microsoft Copilot for Security의 Azure Web Application Firewall 통합은 현재 미리 보기 상태입니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Microsoft Copilot for Security는 자연어 Copilot 환경을 제공하는 클라우드 기반 AI 플랫폼입니다. 인시던트 대응, 위협 헌팅 및 인텔리전스 수집과 같은 다양한 시나리오에서 보안 전문가를 지원하는 데 도움이 됩니다. 자세한 내용은 Microsoft Copilot for Security란?를 참조하세요.

Copilot for Security에 Azure WAF(Web Application Firewall) 통합을 통해 Azure WAF 이벤트를 심층적으로 조사할 수 있습니다. Azure WAF에서 트리거한 WAF 로그를 몇 분 만에 조사하고 컴퓨터 속도로 자연어 응답을 사용하여 관련 공격 벡터를 제공하는 데 도움이 될 수 있습니다. 이는 환경의 위협 환경에 대한 표시 여부를 제공합니다. 이를 통해 가장 자주 트리거되는 WAF 규칙 목록을 검색하고 환경에서 가장 문제가 되는 IP 주소를 식별할 수 있습니다.

Copilot for Security 통합은 Azure Application Gateway와 통합된 Azure WAF 및 Azure Front Door와 통합된 Azure WAF 모두에서 지원됩니다.

시작하기 전에 다음 사항에 유의합니다.

Copilot for Security를 처음 사용하는 경우 다음 문서를 읽고 익숙해져야 합니다.

• Microsoft Copilot for Security란?
• Microsoft Copilot for Security 환경
• Microsoft Copilot for Security 시작
• Microsoft Copilot for Security의 인증 이해
• Microsoft Copilot for Security에서 프롬프트 표시

Copilot for Security에서 Azure WAF 통합

이 통합은 독립형 환경을 지원하며 https://securitycopilot.microsoft.com을 통해 액세스됩니다. 이는 데이터에 대해 질문하고 답변을 가져오는 데 사용할 수 있는 채팅과 유사한 환경입니다. 자세한 내용은 Microsoft Copilot for Security 환경을 참조하세요.

독립 실행형 환경의 기능

Azure WAF의 미리 보기 독립 실행형 환경은 다음과 같은 작업에 도움이 될 수 있습니다.

• 고객 환경에서 트리거된 상위 Azure WAF 규칙 목록을 제공하고 관련 공격 벡터로 심층적인 컨텍스트를 생성합니다.

  이 기능은 WAF 블록으로 인해 트리거되는 Azure WAF 규칙에 대한 세부 정보를 제공합니다. 원하는 기간의 트리거 빈도에 따라 순서가 지정된 규칙 목록을 제공합니다. Azure WAF 로그를 분석하고 특정 기간 동안 관련 로그를 연결하여 이를 수행합니다. 그 결과 특정 요청이 차단된 이유를 이해하기 쉬운 자연어로 설명합니다.

• 고객 환경의 악성 IP 주소 목록을 제공하고 관련 위협을 발생시킵니다.

  이 기능은 Azure WAF에서 차단한 클라이언트 IP 주소에 대한 세부 정보를 제공합니다. Azure WAF 로그를 분석하고 특정 기간 동안 관련 로그를 연결하여 이를 수행합니다. 그 결과 어떤 IP가 차단된 WAF와 차단 이유를 해결하는지에 대한 이해하기 쉬운 자연어 설명이 제공됩니다.

• SQL 주입(SQLi) 공격을 요약합니다.

  이 Azure WAF 기술은 웹 애플리케이션에 대한 SQL 주입(SQLi) 공격을 차단하는 이유에 대한 인사이트를 제공합니다. Azure WAF 로그를 분석하고 특정 기간 동안 관련 로그를 연결하여 이를 수행합니다. 그 결과 SQLi 요청이 차단된 이유에 대한 이해하기 쉬운 자연어 설명이 제공됩니다.

• XSS(교차 사이트 스크립팅) 공격을 요약합니다.

  이 Azure WAF 기술은 Azure WAF가 웹 애플리케이션에 대한 XSS(교차 사이트 스크립팅) 공격을 차단한 이유를 이해하는 데 도움이 됩니다. Azure WAF 로그를 분석하고 특정 기간 동안 관련 로그를 연결하여 이를 수행합니다. 그 결과 XSS 요청이 차단된 이유를 이해하기 쉬운 자연어로 설명합니다.

Microsoft Copilot for Security에서 Azure WAF 통합을 사용하도록 설정합니다.

통합을 사용하도록 설정하려면 다음 단계를 따릅니다.

1. 최소한 Copilot 기여자 권한이 있는지 확인합니다.
2. https://securitycopilot.microsoft.com/을(를) 여십시오.
3. Microsoft Copilot for Security 메뉴를 엽니다.
4. 프롬프트 표시줄에서 원본을 엽니다.
5. 플러그 인 페이지에서 Azure Web Application Firewall 토글을 켜기로 설정합니다.
6. Azure Web Application Firewall 플러그 인에서 설정을 선택하여 Log Analytics 작업 영역, Log Analytics 구독 ID, Azure Front Door WAF 및/또는 Azure Application Gateway WAF에 대한 Log Analytics 리소스 그룹 이름을 구성합니다. Application Gateway WAF 정책 URI 및/또는 Azure Front Door WAF 정책 URI를 구성할 수도 있습니다.
7. 기술 사용을 시작하려면 프롬프트 표시줄을 사용합니다.

샘플 프롬프트

Copilot for Security에서 자체 프롬프트를 만들어 WAF 로그를 기반으로 공격에 대한 분석을 수행할 수 있습니다. 이 섹션에서는 몇 가지 아이디어와 예를 보여 줍니다.

시작하기 전에

• 프롬프트에 명확하고 구체적으로 입력합니다. 프롬프트에 특정 디바이스 ID/이름, 앱 이름 또는 정책 이름을 포함하면 더 나은 결과를 얻을 수 있습니다.

  프롬프트에 WAF를 추가하는 것도 도움이 될 수 있습니다. 예시:

  • 어제 지역 WAF에 SQL 삽입 공격이 있었나요?
  • 글로벌 WAF에서 트리거되는 주요 규칙에 대해 자세히 알려 주세요.

• 사용 사례에 가장 적합한 것을 알 수 있도록 다양한 프롬프트와 변형을 실험합니다. 채팅 AI 모델은 다양하므로 받은 결과에 따라 프롬프트를 반복하고 구체화합니다. 효과적인 프롬프트 작성에 대한 지침은 사용자 고유의 프롬프트 만들기를 참조하세요.

다음 예 프롬프트가 도움이 될 수 있습니다.

SQL 삽입 공격에 대한 정보 요약

• 어제 글로벌 WAF에 SQL 삽입 공격이 있었나요?
• 내 글로벌 WAF에서 가장 많이 발생하는 SQL 삽입 공격과 관련된 IP 주소 표시
• 지난 24시간 동안 지역 WAF에서 발생한 모든 SQL 삽입 공격 표시

교차 사이트 스크립팅 공격에 대한 정보 요약

• 지난 12시간 동안 내 AppGW WAF에서 XSS 공격이 검색되었나요?
• 내 Azure Front Door WAF의 모든 XSS 공격 목록 표시

WAF 규칙을 기반으로 내 환경의 위협 목록 생성

• 지난 24시간 동안 트리거된 상위 글로벌 WAF 규칙은 무엇이었나요?
• 내 환경에서 WAF 규칙과 관련된 주요 위협은 무엇인가요? <규칙 ID 입력>
• 어제 지역 WAF에 봇 공격이 있었나요?
• 마지막 날 Azure Front Door WAF에 의해 트리거된 사용자 지정 규칙 블록을 요약합니다.

악성 IP 주소를 기반으로 내 환경의 위협 목록 생성

• 어제 지역 WAF에서 가장 문제가 많은 IP는 무엇이었나요?
• 지난 6시간 동안 Azure Front Door WAF의 악성 IP 주소 목록을 요약하려고 하나요?

피드백 제공하기

Copilot for Security와 Azure WAF 통합에 대한 피드백은 개발에 도움이 됩니다. Copilot에서 피드백을 제공하려면 이 응답은 어떻나요?를 선택합니다. 완료된 각 프롬프트 하단에서 다음 옵션 중 하나를 선택합니다.

• 올바르게 보임 - 평가에 따라 결과가 정확한 경우 선택합니다.
• 개선 필요 - 평가에 따라 결과의 세부 사항이 부정확하거나 불완전한 경우 선택합니다.
• 부적절 - 결과에 의심스럽거나 모호하거나 잠재적으로 유해한 정보가 포함되어 있는 경우 선택합니다.

각 피드백 항목에 대해 나타나는 다음 대화 상자에서 추가 정보를 제공할 수 있습니다. 가능할 때마다 그리고 결과가 개선 필요인 경우, 결과를 개선하기 위해 수행할 수 있는 작업을 설명하는 몇 단어를 작성합니다.

제한 사항

Application Gateway WAF V2 버전에서 Azure Log Analytics 전용 테이블로 마이그레이션한 경우 Copilot for Security WAF 기술이 작동하지 않습니다. 임시 해결 방법으로 특정 리소스 테이블 외에 Azure Diagnostics를 대상 테이블로 사용하도록 설정합니다.

Microsoft Copilot for Security의 개인 정보 보호 및 데이터 보안

Microsoft Copilot for Security가 프롬프트와 서비스에서 검색된 데이터(프롬프트 출력)를 처리하는 방법을 이해하려면 Microsoft Copilot for Security의 개인 정보 보호 및 데이터 보안을 참조하세요.

관련 콘텐츠

• Microsoft Copilot for Security란?