Microsoft Security Copilot 보안 분석가 에이전트

  • 적용 대상: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

Defender의 보안 분석가 에이전트는 다음을 제공하여 보안 분석가가 위험을 신속하게 식별, 평가 및 우선 순위를 지정하는 데 도움이 됩니다.

  • 유연한 분석: 보안 데이터에 대한 즉시 사용 또는 사용자 지정 분석을 수행합니다. 실행 가능하고 우선 순위가 지정된 인사이트, 권장 사항 및 보고서를 가져와 주요 취약성 및 위험을 파악합니다.

  • 데이터 통합: 지침에 따라 Microsoft Defender XDR, Sentinel Log Analytics 또는 Sentinel 데이터 레이크의 데이터를 분석합니다. 사용자 지정 데이터 세트 분석을 위해 CSV 파일을 업로드할 수도 있습니다(현재 독립 실행형 환경에서 사용할 수 있지만 Defender에서 곧 사용할 수 있음).

  • 대화형 탐색: 데이터를 시각화하여 변칙 및 위험을 더 빠르게 발견합니다.

  • 대화 지원: 에이전트와 채팅하고, 후속 질문을 하고, 관련 분석을 수행하여 이해를 심화합니다.

패턴 분석, 추세 분석, 시계열 및 시각화와 같은 기본 분석 작업과 변칙 검색, 클러스터링, 순위, 위험 점수 매기기 및 우선 순위 지정, 예측 및 예측 모델링과 같은 보다 복잡한 분석 작업을 수행하여 숨겨진 위험을 파악하려면 보안 분석가 에이전트를 사용합니다. 에이전트는 방어 가능성을 위한 완전한 증거와 함께 우선 순위가 지정된 인사이트를 생성합니다. 코드나 쿼리를 작성할 필요 없이 채팅 첫 번째 환경에서 Python 기반 고급 분석입니다.

에이전트는 대량의 데이터에 대해 단일 또는 다단계 분석을 수행하고 반복적으로 이유를 파악하고 숨겨진 위험을 발견하고 자세한 증거 추적 및 근거를 사용하여 이러한 위험의 우선 순위를 지정합니다.

필수 구성 요소 및 설정 요구 사항

에이전트를 사용하려면 Security Copilot 및 Defender XDR 또는 Log Analytics 또는 Sentinel Data Lake에 Sentinel 액세스할 수 있어야 합니다.

액세스 및 설정 요구 사항

  • 액세스 요구 사항

선택한 데이터 원본에 따라 Microsoft Defender XDR, Microsoft Sentinel Log Analytics 작업 영역 또는 Microsoft Sentinel 데이터 레이크에 대한 읽기 권한이 있어야 합니다.

  • RBAC 및 사용자별 설정

에이전트를 구성할 때 ID에 연결되고 사용자 instance만 적용됩니다.

  • 다중 사용자 지원

동일한 테넌트에서 다른 사용자는 선택한 데이터 원본에 필요한 액세스 권한이 있는 경우 자신의 ID를 사용하여 에이전트를 구성할 수도 있습니다.

데이터 원본

에이전트는 현재 세 가지 데이터 원본을 지원합니다.

데이터 원본 설명
Defender XDR(기본값) 원격 분석 Microsoft Defender XDR
Log Analytics Sentinel Log Analytics 작업 영역 Microsoft Sentinel
Sentinel 데이터 레이크(Sentinel 데이터 레이크에만 필요한 단계) Microsoft Sentinel 데이터 레이크

데이터 원본을 지정하는 방법에는 두 가지가 있습니다.

자연어 프롬프트: 명령에 데이터 원본을 추가합니다. 예시:

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

명령에서 데이터 원본을 지정하면 에이전트는 해당 원본에서 보안 로그를 검색하고 분석합니다. 작업 영역이 여러 개 있는 경우 에이전트는 사용할 작업 영역을 지정하도록 요청합니다.

프롬프트에서 구성되면 데이터 원본 설정은 변경될 때까지 전체 세션에 대해 유지됩니다. 성능 향상을 위해 지정된 세션의 데이터 원본 변경 내용을 3으로 제한하는 것이 좋습니다.

에이전트 설정: 에이전트 설정을 편집하여 데이터 원본을 지정할 수도 있습니다.

중요

에이전트는 항상 지침을 따릅니다. 에이전트 설정과 프롬프트 명령 간에 충돌이 있는 경우 프롬프트 명령이 우선합니다.

두 방법 중 하나를 사용하여 데이터 원본을 지정하지 않은 경우 에이전트는 먼저 Defender XDR 데이터를 검색하려고 시도합니다. 데이터 사용 불가 또는 사용 권한 문제로 인해 실패하는 경우 에이전트는 log Analytics에서 다시 Sentinel.

보안 분석가 에이전트 구성(선택 사항)

설정을 완료하지 않고 Defender에서 직접 보안 분석가 에이전트를 실행할 수 있습니다. 에이전트 설정은 에이전트 ID 정의 또는 데이터 원본 미리 구성과 같은 선택적 구성 시나리오를 지원하기 위해 제공됩니다. Defender에서 에이전트를 실행하는 기능에는 영향을 주지 않습니다.

중요

데이터 원본 구성은 선택 사항입니다. 프롬프트에서 직접 데이터 원본을 지정할 수 있으며 에이전트는 분석을 수행할 때 이러한 프롬프트 기반 지침의 우선 순위를 지정합니다. 프롬프트에 데이터 원본이 지정되지 않은 경우 에이전트는 에이전트 설정에 구성된 데이터 원본을 사용합니다.

  1. Security Copilot(https://securitycopilot.microsoft.com)에 로그인합니다.

  2. 홈 메뉴 아이콘을 선택합니다.

  3. 에이전트로 이동합니다.

  4. 설치 준비 섹션에서 보안 분석가 에이전트를 선택합니다.

  5. 처음 설치하려면 설치 준비 섹션에서 에이전트를 찾아 설정을 선택합니다. 에이전트가 이미 하나 이상의 사용자에 대해 구성된 경우 "사용 중인 에이전트" 섹션에서 "보안 분석가 에이전트"를 검색하고 "에이전트로 이동"을 클릭합니다.

    보안 분석가 에이전트 이미지 - 에이전트로 이동

  6. 기본 설정 데이터 원본 세부 정보를 제공하여 에이전트를 구성합니다.

    • Defender XDR: 모든 필드를 비워 두고 명령의 끝에 를 지정 Use Defender XDR 합니다.

    • Sentinel 데이터 레이크(필수):

      1. DataSource 필드에 를 입력 SentinelDataLake 합니다.
      2. Sentinel 데이터 레이크 작업 영역 이름 필드에 작업 영역 이름을 입력합니다.
      3. 나머지 필드는 비워 둡니다.

    • Log Analytics 작업 영역 Sentinel:

      1. DataSource 필드에 를 입력 SentinelLogAnalyticsWorkspace 합니다.
      2. Log Analytics 작업 영역 이름 필드를 입력합니다.
      3. Sentinel 데이터 레이크 작업 영역 이름 필드를 비워 두고 설정을 저장합니다.

      보안 분석가 에이전트 이미지 - 에이전트 채팅 설정

  7. 맨 위에서 에이전트와 채팅 을 선택하여 에이전트와 상호 작용합니다.

    보안 분석가 에이전트 이미지 - 에이전트와 채팅 단추

    새 분석을 위해 새 채팅을 시작하고, 기록 채팅을 보고 액세스하며, 에이전트 세션에서 에이전트 설정 세부 정보를 볼 수 있습니다.

    보안 분석가 에이전트 이미지 - 새 채팅 세션

보안 분석가 에이전트 사용

  1. 에서 https://defender.microsoft.comMicrosoft Defender 이동한 다음 조사 및 응답에서 고급 헌팅을 선택합니다.

  2. Copilot를 열고 보안 분석가 에이전트를 선택합니다.

    Microsoft Defender 고급 헌팅에서 보안 분석가 에이전트를 선택하는 스크린샷

  3. 자연어로 보안 분석 프롬프트를 입력하거나 제안된 프롬프트 중 하나를 선택합니다.

  4. 작업이 광범위한 경우 에이전트가 분석 scope 좁힐 수 있도록 에이전트의 명확한 질문에 응답합니다.

  5. 필요에 따라 프롬프트에서 데이터 원본을 지정합니다. 데이터 원본이 제공되지 않으면 에이전트는 먼저 Defender XDR 시도한 다음 Log Analytics를 Sentinel 분석에 필요한 데이터를 식별하고 검색합니다.

  6. 우선 순위가 지정된 결과, 지원 증거 및 권장 사항을 포함하여 응답을 검토합니다.

    다음 예제에서 에이전트는 조사 결과를 증거와 함께 요약하고 더 심층적인 조사 또는 봉쇄와 같은 다음 단계에 대한 컨텍스트 권장 사항도 제공합니다. 응답에는 사용자가 상호 작용을 계속하도록 요청할 수 있는 제안된 다음 프롬프트 목록도 포함되어 있습니다.

    보안 분석가 에이전트의 샘플 응답 스크린샷

  7. 동일한 세션에서 후속 프롬프트를 계속 진행하거나 별도의 조사를 위해 새 세션을 시작합니다.

    참고

    에이전트는 복잡한 분석을 완료하는 데 몇 분 정도 걸릴 수 있습니다.

  8. KQL 쿼리를 실행하고 결과를 분석하여 보안 위험을 이해하려는 경우 쿼리의 결과 탭 아래에서 copilot를 사용하여 분석을 선택합니다. 에이전트는 생성된 결과에 대한 이유와 긴급한 주의가 필요한 우선 순위가 지정된 인사이트에 대한 요약을 제공합니다.

    고급 헌팅 쿼리 결과의 Copilot로 분석 작업을 보여 주는 스크린샷

  9. 응답의 피드백 단추를 사용하여 출력이 도움이 되었는지 여부를 공유합니다.

보고서 해석

요약

이 섹션에서는 수행된 단계와 고려된 데이터를 요약하여 분석이 수행된 방식에 대한 명확한 설명을 제공합니다. 이 문서에서는 필터링 기준, 시간 범위 및 적용된 모든 순위를 간단한 언어로 설명하므로 독자가 프로세스를 쉽게 따를 수 있습니다.

주요 인사이트

여기서는 간결하고 의미 있는 방식으로 제시된 분석에서 가장 중요한 결과를 찾을 수 있습니다. 각 인사이트에는 중요한 이유와 관련 있는 경우 증거 지원에 대한 참조에 대한 간략한 설명이 포함되어 있습니다.

시각화

이 섹션에는 보고서에 깊이와 명확성을 더하는 차트 또는 그래프가 포함되어 있어 판독기에서 데이터의 패턴이나 관계를 빠르게 해석할 수 있습니다. 시각적 개체는 분석에 고유한 값을 제공하는 경우에만 포함됩니다.

아티팩트

아티팩트 는 분석된 모든 엔터티의 포괄적인 CSV 및 해당하는 경우 자세한 증거 파일과 같이 보고서와 함께 제공되는 지원 파일입니다. 이러한 리소스를 통해 독자는 결과 뒤에 있는 전체 데이터 세트를 탐색할 수 있습니다. 아티팩트에는 에이전트가 데이터를 검색하는 데 사용한 KQL 쿼리가 포함됩니다(에이전트는 데이터 검색에만 KQL을 사용하고, 분석은 python에서 수행됨), 작업을 수행하기 위해 공식화된 포괄적인 계획을 참조하세요.

  • Last updated on