Security Copilot 에이전트란? 관리/최종 사용자 환경이란 무엇이며 개발자 환경은 무엇인가요?
Security Copilot AI 에이전트는 고객의 디지털 및 물리적 환경을 인식하는 시스템입니다. 에이전트는 결정을 내리고 Security Copilot 고객이 부여한 자율성을 사용하여 목표를 달성하기 위한 조치를 취합니다. 고객의 권한 있는 관리자는 Microsoft Defender XDR, Microsoft Entra, Intune, Purview 및 Security Copilot 포털 내에서 모든 Security Copilot 에이전트를 설치합니다. 관리자는 에이전트의 ID를 설정하고 에이전트에 대한 RBAC(역할 기반 액세스 제어)를 구성합니다. 에이전트의 최종 사용자는 보안 분석가(Defender, Microsoft Entra, 위협 인텔), 개인 정보 보호 분석가(Purview) 또는 IT 관리자(Microsoft Entra, Intune)이며 주로 해당 포털을 통해 에이전트를 경험합니다. 고객 또는 파트너를 위한 사용자 지정 에이전트 빌드에 대한 지침은 사용자 지정 에이전트 빌드를 참조하세요.
Security Copilot 에이전트는 무엇을 할 수 있나요?
- 피싱 심사, 데이터 손실 방지에 대한 경고 심사 및 내부 위험 관리를 위한 경고 심사의 세 가지 에이전트가 경고 및 인시던트(경고 및 인시던트)를 자율적으로 심사하고 분류합니다.
- 취약성 수정, 위협 인텔리전스 브리핑 및 조건부 액세스 정책 드리프트의 세 가지 에이전트가 자동 관리 보안 작업을 수행합니다.
- 계획 생성 및 실행의 경우 이러한 각 에이전트는 다음 중 하나를 사용합니다.
- Microsoft 에이전트 개발자가 제공하는 간단한 오케스트레이션은 개발자가 에이전트를 지시하는 코드를 작성했음을 의미합니다.
- 플랫폼에서 제공하는 AI 오케스트레이션은 Security Copilot 작성 코드와 LLM 명령이 혼합되어 에이전트를 지시한다는 것을 의미합니다.
사용하려는 Security Copilot 에이전트 환경은 무엇인가요?
- 피싱 심사 에이전트: Microsoft Defender XDR 사용자가 보고한 피싱 인시던트 자동 심사, 인시던트 보강 수행, 텍스트 및 이미지에 대한 에이전트의 분석에 따라 인시던트 해결
- 데이터 손실 방지에 대한 경고 심사: Microsoft Purview에서 DLP 경고를 자율적으로 심사하여 경고에 대한 보강을 수행하고 에이전트의 분석에 따라 경고를 해결할 수 있습니다.
- 내부 위험 관리에 대한 경고 심사: Microsoft Purview에서 IRM 경고를 자율적으로 심사하여 경고에 대한 보강을 수행하고 에이전트의 분석에 따라 경고를 해결할 수 있습니다.
- 취약성 수정: 고객의 환경에 적용되는 패치를 사용하여 게시된 취약성을 수정하기 위해 패치 그룹을 자율적으로 빌드합니다. 에이전트는 환경에 패치를 적용하지 않습니다.
- 위협 인텔리전스 브리핑: 매주 위협 인텔리전스 브리핑 에이전트를 자율적으로 조사하고 고객에게 보냅니다.
- 조건부 액세스 정책 드리프트: 고객의 ID 시스템 및 사용자 시스템을 동기화 상태로 유지하는 정책 변경을 자율적으로 빌드합니다.
Security Copilot 에이전트 환경은 어떻게 평가되었나요? 성능을 측정하는 데 사용되는 메트릭은 무엇인가요?
- 프라이빗 미리 보기 단계의 경우 각 에이전트는 고객으로부터 사용 사례 및 디자인 입력을 사용하여 제품 및 연구 팀에서 평가했습니다.
- 레드 팀 연습을 통해 시스템의 보안을 평가했습니다.
Security Copilot 에이전트의 제한 사항은 무엇인가요? 사용자가 시스템을 사용할 때 제한 사항의 영향을 최소화하려면 어떻게 할까요?
- 이는 공개 미리 보기 릴리스이므로 고객은 Security Copilot 에이전트를 시험판 기능으로 처리해야 합니다. 즉, 고객은 출력에 따라 행동하기 전에 에이전트의 의사 결정을 검토해야 합니다. 에이전트 의사 결정은 제품 환경 내에서 사용할 수 있습니다.
- 에이전트는 수행하도록 설계된 특정 작업에만 적합합니다(위의 의도된 사용 사례 참조). 에이전트는 다른 작업에 적합하지 않습니다.
- 사용자가 메모리에 저장할 에이전트에 피드백을 제출하는 경우 에이전트는 피드백 해석에 대한 요약을 제공하지 않습니다. 즉, 사용자는 입력이 이해된 방식에 대한 즉각적인 유효성 검사를 받지 못합니다. 여기서 모호성을 최소화하려면 사용자가 명확하고 간결하며 구체적인 피드백을 제출해야 합니다. 이렇게 하면 명시적 요약 없이도 에이전트의 해석이 사용자의 의도와 밀접하게 일치하도록 할 수 있습니다.
- 현재 UI는 충돌하는 피드백이 보고되는 이벤트를 나타내지 않습니다. 사용자는 정기적으로 피드백을 검토하여 에이전트에 이미 제출된 내용을 이해하여 요구 사항에 부합하는지 확인해야 합니다.
- 에이전트 노드 맵은 에이전트 프로세스 중에 수행된 단계를 개략적으로 볼 수 있도록 설계되었습니다. 노드 맵의 각 노드는 완료 상태, 기간 및 타임스탬프와 같은 기본 정보와 함께 각 단계에서 사용되는 기술의 제목(예: 'UserPeers' 또는 'SummarizeFindingAgent')을 표시합니다. 각 노드에서 수행된 특정 작업에 대한 자세한 요약은 제공하지 않습니다. 사용자는 수행된 작업을 설명하기 위해 작성된 노드 제목을 신중하게 검토하여 영향을 최소화할 수 있습니다. 그런 다음 에이전트의 광범위한 작업의 컨텍스트 내에서 타이틀을 고려하여 각 단계의 목적을 유추할 수 있습니다.
- 에이전트는 메모리를 사용하여 권한 있는 사용자의 피드백을 저장하고 해당 정보를 후속 실행에 적용합니다. 예를 들어 보안 분석가는 사용자 제출 피싱 심사 에이전트에 다음 피드백을 제공할 수 있습니다. "hrtools.com 이메일은 내 HR 교육 공급업체에서 제공되므로 링크 엔드포인트에 맬웨어가 없는 한 피싱 공격으로 플래그를 지정하지 마세요." 해당 피드백은 메모리에 저장된 다음, 고객의 비즈니스 컨텍스트를 효과적으로 캡처할 수 있도록 후속 에이전트 실행에 적용됩니다. 악의적이거나 의도치 않게 잘못된 업데이트로 인해 메모리가 중독되지 않도록 하기 위해 고객의 관리자는 에이전트에 피드백을 제공할 권한이 있는 사용자를 구성합니다. 또한 관리자는 제품의 에이전트 구성 화면에서 액세스할 수 있는 메모리의 콘텐츠를 보고 편집하고 삭제할 수 있습니다.
Security Copilot 에이전트를 효과적이고 책임감 있게 사용할 수 있는 운영 요인 및 설정은 무엇인가요?
- 각 에이전트는 관리 ID 또는 캡처된 사용자로 실행되므로 관리자가 액세스할 수 있는 데이터를 제어할 수 있습니다.
- 각 에이전트에는 RBAC 컨트롤이 있으며, 두 Purview 에이전트는 처리하는 데이터에 대해 더 제한될 수 있습니다.
- 이러한 6개 에이전트 중 실행 취소할 수 없는 작업은 수행되지 않습니다. 예를 들어 세 에이전트는 쉽게 되돌릴 수 있는 작업인 인시던트 또는 경고의 상태 변경합니다.
- 관리자는 organization 에이전트에 피드백을 제공할 수 있는 사용자를 제어합니다.
Security Copilot 에이전트에 대한 피드백을 제공할 어떻게 할까요? 있나요?
각 에이전트에는 고객이 에이전트에 자연어 피드백을 제공할 수 있는 피드백 메커니즘이 있습니다. 에이전트는 해당 피드백을 활성 학습 루프에 통합합니다.
플러그 인 지원
Security Copilot 에이전트는 플러그 인을 지원하지 않습니다.