다음을 통해 공유


보안용 Microsoft Copilot에서 프롬프트북 사용

프롬프트북이란?

보안용 Copilot는 미리 빌드된 프롬프트북과 함께 제공되며, 특정 보안 관련 작업을 수행하기 위해 함께 제공되는 일련의 프롬프트입니다. 예를 들어 인시던트 대응 또는 조사와 관련하여 반복적인 단계를 자동화하는 템플릿 역할을 할 수 있는 즉시 사용할 수 있는 워크플로인 보안 플레이북과 비슷한 방식으로 작동할 수 있습니다. 미리 빌드된 각 프롬프트북에는 특정 입력(예: 코드 조각 또는 위협 행위자 이름)이 필요합니다.

프롬프트북 라이브러리로 가거나 프롬프트 아이콘 스파클 아이콘 스크린샷 을 선택하여 다른 프롬프트북을 찾을 수 있습니다. 프롬프트 표시줄에서. 그런 다음 프롬프트북을 검색하거나 모든 프롬프트북 보기를 선택하여 모두 볼 수 있습니다.

프롬프트북에 대해 자세히 알아보려면 다음 비디오를 시청하세요.

인시던트 조사

Microsoft Sentinel 또는 Microsoft Defender XDR 플러그 인에 인시던트 번호를 제공한 후 인시던트 조사 프롬프트북을 실행할 수 있습니다. 사용하려는 플러그 인에 적절한 프롬프트북을 사용합니다. 인시던트 조사 프롬프트북에는 조사를 요약하는 비기술적 대상 그룹에 대한 임원 보고서를 생성하라는 몇 가지 프롬프트가 포함되어 있습니다. 각 프롬프트는 이전 프롬프트에서 빌드됩니다.

Microsoft Sentinel 인시던트 조사 프롬프트북을 실행하려면 다음을 수행합니다.

  1. 프롬프트 표시줄에서 프롬프트 단추를 선택하고 프롬프트북이 목록에 표시될 때까지 "인시던트 조사"를 입력하기 시작합니다.

  2. Microsoft Sentinel 인시던트 조사를 선택합니다. 대신 Microsoft Defender XDR 플러그 인을 사용하려면 Microsoft Defender XDR 인시던트 조사를 선택합니다. 의심스러운 스크립트 분석 프롬프트북의 스크린샷.

  3. 입력 상자에서 조사하려는 인시던 트 번호를 Sentinel 인시던트 ID로 제공합니다.

  4. 그런 다음 대화 상자의 왼쪽 위 모서리에서 실행을 선택합니다.

  5. 보안에 대한 Copilot가 다른 프롬프트를 통해 인시던트 번호를 실행할 때까지 기다립니다. 응답 대신 라운드 진행률 표시기가 표시되면 프롬프트북이 계속 실행되고 있습니다. 보안용 Copilot는 각 프롬프트에 대한 응답을 생성하며, 마지막 프롬프트가 표시될 때까지 각 응답을 기반으로 합니다.

  6. 보안용 Copilot의 응답을 읽습니다. 보안용 Copilot의 마지막 프롬프트는 응답에 따라 조사를 요약하는 임원 보고서를 생성합니다. 답변이 정확하고 요구 사항을 충족하는지 검토하고 확인합니다.

위협 행위자 프로필

위협 행위자 프로필 프롬프트북은 특정 위협 행위자에 대한 요약을 빠르게 얻을 수 있는 방법입니다. 프롬프트북은 알려진 도구, 전술 및 절차(TTP) 및 수정 제안을 포함한 지표를 포함하여 행위자 관련 기존 위협 인텔리전스 문서를 찾습니다. 그런 다음, 기술 독자를 덜 위한 보고서로 결과를 요약합니다.

위협 행위자 프로필 프롬프트북을 실행하려면: 1.프롬프트 표시줄에서 프롬프트 단추를 선택하고 프롬프트북이 목록에 표시될 때까지 "위협 행위자 프로필"을 입력하기 시작합니다.

  1. 위협 행위자 프로필을 선택합니다.
  2. 입력 상자에 위협 행위자 이름을 나타내는 위협 행위자의 이름을 입력합니다. 위협 행위자 프롬프트북의 스크린샷
  3. 그런 다음 대화 상자의 왼쪽 위 모서리에 있는 실행 단추를 선택합니다.
  4. 보안에 대한 Copilot가 다른 프롬프트를 통해 위협 행위자 이름을 실행할 때까지 기다립니다. 응답 대신 라운드 진행률 표시기가 표시되면 프롬프트북이 계속 실행되고 있습니다. 보안용 Copilot는 각 프롬프트에 대한 응답을 생성하고 마지막 프롬프트가 표시될 때까지 각 프롬프트에 대해 빌드합니다.
  5. Copilot for Security의 답변을 읽습니다. 보안용 Copilot의 마지막 프롬프트는 식별된 위협 행위자 관련 정보를 포함하는 쉽게 읽을 수 있는 보고서를 생성합니다. 답변이 정확하고 요구 사항을 충족하는지 검토하고 확인합니다.

의심스러운 스크립트 분석

의심스러운 스크립트 분석 프롬프트북은 PowerShell 또는 Windows 명령줄 스크립트를 조사할 때 유용합니다. 예를 들어 PowerShell 스크립트가 네트워크에서 중요한 인시던트에 관련된 경우 스크립트 본문을 복사하고 프롬프트북을 실행하여 자세한 내용을 확인할 수 있습니다.

프롬프트북을 실행하려면 1. 프롬프트 표시줄에서 프롬프트 단추를 선택하고 프롬프트북이 목록에 표시될 때까지 "의심스러운 스크립트 분석"을 입력하기 시작합니다.

  1. 의심스러운 스크립트 분석을 선택합니다.

  2. 분석할 스크립트라는 입력 상자에 분석 할 스크립트 문자열을 붙여넣습니다. 프롬프트북의 의심스러운 스크립트 분석을 보여 주는 스크린샷

  3. 그런 다음 대화 상자의 왼쪽 위 모서리에서 실행을 선택합니다.

  4. 보안에 대한 Copilot가 다른 프롬프트를 통해 스크립트 콘텐츠를 실행할 때까지 기다립니다. 응답 대신 라운드 진행률 표시기가 표시되면 프롬프트북이 계속 실행되고 있습니다. 보안용 Copilot는 각 프롬프트에 대한 응답을 생성하며, 마지막 프롬프트가 표시될 때까지 각 응답을 기반으로 합니다.

  5. 보안용 Copilot의 응답을 읽습니다. 보안용 Copilot의 마지막 프롬프트는 스크립트가 수행하는 작업, 관련 위협 활동 및 파일 의도에 대한 평가에 따라 권장되는 다음 단계에 대한 전체 보고서를 생성합니다. 답변이 정확하고 요구 사항을 충족하는지 검토하고 확인합니다.

취약성 영향 평가

취약성 영향 평가 프롬프트북은 CVE 번호 또는 알려진 취약성 이름을 수락하여 취약성이 공개적으로 공개되거나 악용되었는지, 그리고 해당 캠페인에서 위협 행위자가 사용했는지 여부를 확인합니다. 그런 다음 위협을 해결하거나 완화하고 이러한 결과를 요약 요약에 요약하기 위한 권장 사항을 제공할 수 있습니다.

이 프롬프트북을 실행하려면 다음을 수행합니다.

  1. 프롬프트 표시줄에서 프롬프트 단추를 선택하고 프롬프트북이 목록에 나타날 때까지 "취약성 영향 평가"를 입력하기 시작합니다.
  2. 취약성 영향 평가를 선택합니다.
  3. 입력 상자에 CVEID라는 CVE 번호 또는 일반적인 취약성 이름을 입력합니다. 취약성 영향 평가 프롬프트북의 스크린샷.
  4. 그런 다음 대화 상자의 왼쪽 위 모서리에 있는 실행 단추를 선택합니다.
  5. 보안에 대한 Copilot가 다른 프롬프트를 통해 취약성 이름 또는 CVE를 실행할 때까지 기다립니다. 응답 대신 라운드 진행률 표시기가 표시되면 프롬프트북이 계속 실행되고 있습니다. 보안 Copilot는 각 프롬프트에 대한 응답을 생성하고 마지막 프롬프트가 표시될 때까지 각 프롬프트에 대해 빌드합니다.
  6. 보안용 Copilot의 응답을 읽어보세요. 마지막 프롬프트는 취약성에 대해 쉽게 읽을 수 있는 보고서를 생성합니다. 이 보고서에는 완화 제안을 포함하여 알려진 악용 활동에 대한 세부 정보가 포함되어 있습니다. 답변이 정확하고 요구 사항을 충족하는지 검토하고 확인합니다.

프롬프트북 라이브러리 보기

조직 전체에서 미리 빌드된 프롬프트북과 사용자가 빌드한 프롬프트북이 프롬프트북 라이브러리에 모두 표시됩니다. Copilot 메뉴로 이동하고 프롬프트북 라이브러리를 선택하여 프롬프트북을 봅니다.

메뉴의 라이브러리 스크린샷

홈페이지에서 프롬프트북 라이브러리 보기를 선택할 수도 있습니다.

홈페이지의 라이브러리 스크린샷

프롬프트북 라이브러리에는 사용 가능한 모든 프롬프트북이 표시됩니다. 프롬프트북은 이름으로 나열되며 설명, 소유자, 프롬프트 수, 필요한 플러그 인, 입력 및 태그(있는 경우)를 볼 수 있습니다.

라이브러리의 스크린샷.

페이지의 왼쪽 위 영역에 있는 프롬프트북 라이브러리 에서 돋보기 아이콘을 선택합니다. 프롬프트북 제목의 처음 몇 글자를 입력하고 결과가 로드되기를 기다립니다.

태그를 기준으로 필터링할 수도 있습니다.

참고 항목