Microsoft Defender의 Microsoft Copilot
참고
Microsoft Defender XDR 엔드포인트용 Microsoft Defender, Microsoft Defender for Identity, Office 365용 Microsoft Defender 통합 XDR 환경을 제공합니다. 취약성 관리에 대한 Microsoft Defender for Cloud Apps 및 Microsoft Defender. 이 사전 및 위반 후 방어 도구 모음에 대해 자세히 알아보려면 Microsoft Defender XDR?
이 문서에서는 액세스 단계, 주요 기능 및 이러한 기능의 세부 정보에 대한 링크를 포함하여 Microsoft Defender Microsoft Copilot 사용자를 위한 개요를 제공합니다.
시작하기 전에 다음 사항에 유의합니다.
보안용 Copilot를 처음으로 사용하는 경우 다음 문서를 참조하여 잘 알고 있어야 합니다.
- 보안을 위한 Copilot란?
- Copilot for Security 경험
- Copilot for Security 시작하기
- 보안용 Copilot의 인증 이해
- Copilot for Security 프롬프트 표시 중
Microsoft Defender 통합 Microsoft Copilot
Microsoft Copilot for Security는 AI의 강력한 기능과 사람의 전문 지식을 결합하여 보안팀이 공격에 더 빠르고 효과적으로 대응할 수 있도록 도와주는 플랫폼입니다. 보안용 Copilot는 보안 팀에게 인시던트를 조사하고 대응하고, 위협을 찾고, 관련 위협 인텔리전스를 사용하여 organization 보호할 수 있는 향상된 기능을 제공하기 위해 Microsoft Defender 포털에 포함되어 있습니다. Defender의 Copilot는 Copilot for Security에 대한 액세스를 프로비전한 사용자가 사용할 수 있습니다.
주요 기능
전문가처럼 인시던트 조사 및 대응
보안팀이 쉽고 정밀하게 적시에 공격 조사를 처리할 수 있도록 합니다. Copilot은 팀이 공격을 즉시 이해하고, 의심스러운 파일 및 스크립트를 신속하게 분석하고, 공격을 중지하고 포함하기 위한 적절한 완화를 신속하게 평가하고 적용하는 데 도움이 됩니다.
인시던트를 빠르게 요약
여러 경고가 있는 인시던트를 조사하는 것은 어려운 작업일 수 있습니다. 인시던트를 즉시 이해하려면 Copilot을 탭하여 인시던트를 요약할 수 있습니다. Copilot는 공격에 대한 개요를 만듭니다. 개요에는 공격에서 발생한 내용, 관련된 자산 및 공격 타임라인 파악하기 위한 필수 정보가 포함되어 있습니다. Copilot은 인시던트 페이지로 이동할 때 자동으로 요약을 만듭니다.
단계별 응답을 통해 인시던트에 대한 조치 수행
인시던트를 해결하려면 분석가가 어떤 솔루션이 적절한지 알기 위해 공격을 이해해야 합니다. Copilot은 각 인시던트와 관련된 단계별 대응을 통한 솔루션을 권장합니다.
쉽게 스크립트 분석 실행
공격자 대부분은 감지 및 분석을 방지하기 위해 공격을 시작할 때 정교한 맬웨어를 사용합니다. 이러한 맬웨어는 일반적으로 혼란스럽게 만들어지며 PowerShell의 스크립트 또는 명령줄 형식일 수 있습니다. Copilot은 신속하게 스크립트를 분석하여 조사 시간을 줄일 수 있습니다.
장치 요약 생성
인시던트에 관련된 디바이스를 조사하는 작업은 힘든 작업일 수 있습니다. Copilot은 디바이스를 신속하게 평가하기 위해 디바이스의 보안 상태, 비정상적인 동작, 취약한 소프트웨어 목록 및 관련 Microsoft Intune 정보를 포함하여 디바이스 정보를 요약할 수 있습니다.
즉시 파일 분석
Copilot은 보안팀이 파일 분석을 통해 의심스러운 파일을 신속하게 평가하고 이해하는 데 도움이 됩니다. Copilot은 검색 정보, 관련 파일 인증서, API 호출 목록 및 파일에 있는 문자열을 포함하여 파일의 요약을 제공합니다.
즉시 ID 조사
Copilot를 사용하여 ID 요약 을 생성하여 사용자의 위험을 신속하게 평가합니다. 사용자의 역할 및 역할 변경, 로그인 동작, 로그인한 디바이스 및 관련 연락처 정보에 대한 컨텍스트화된 정보로 ID가 위험에 처하거나 의심스러운 경우를 식별합니다.
인시던트 보고서를 효율적으로 작성
보안 운영 팀은 일반적으로 수행한 대응 조치 및 해당 결과, 관련된 팀 구성원 및 향후 보안 결정 및 학습을 지원하는 기타 정보를 포함하여 중요한 정보를 기록하는 보고서를 작성합니다. 종종 인시던트를 문서화하는 데 시간이 오래 걸릴 수 있습니다. 인시던트 보고서를 적용하려면 누구와 언제 어떤 작업이 수행되었는지를 포함하여 수행된 작업과 함께 인시던트의 요약을 포함해야 합니다. Copilot은 이러한 정보를 신속하게 통합하여 인시던트 보고서를 생성합니다.
전문가처럼 헌팅
Defender의 Copilot은 적절한 KQL 쿼리를 신속하게 빌드하여 보안팀이 네트워크에서 위협을 사전에 헌팅하는 데 도움이 됩니다.
자연어 입력에서 KQL 쿼리 생성
고급 헌팅을 사용하여 네트워크에서 위협을 사전에 헌팅하는 보안 팀은 이제 위협 헌팅 컨텍스트에서 자연어 질문을 즉시 실행 가능한 KQL 쿼리로 변환하는 쿼리 도우미 사용할 수 있습니다. 쿼리 도우미는 KQL 쿼리를 생성하여 보안 팀의 시간을 절약합니다. 이 쿼리는 분석가의 요구에 따라 자동으로 실행되거나 추가로 조정될 수 있습니다. 고급 헌팅의 Copilot for Security의 쿼리 도우미에 대해 자세히 알아보세요.
관련 위협 인텔리전스를 사용하여 조직 보호
보안 조직이 최신 위협 인텔리전스를 사용하여 정보에 입각한 결정을 내릴 수 있도록 합니다. Copilot은 위협 인텔리전스를 통합하고 요약하여 보안팀이 위협의 우선순위를 지정하고 효과적으로 대응할 수 있도록 지원합니다.
위협 인텔리전스 모니터링
Copilot에게 환경에 영향을 주는 관련 위협을 요약하거나, 노출 수준에 따라 위협 해결의 우선순위를 지정하거나, 업계를 대상으로 할 수 있는 위협 행위자를 찾도록 요청합니다. 위협 인텔리전스의 Copilot for Security에 대해 자세히 알아보세요.
Defender의 Copilot에 액세스
Defender의 Copilot에 대한 액세스 권한이 있는지 확인하려면 Copilot for Security 구매 및 라이선스 정보를 참조하세요. 보안용 Copilot에 액세스할 수 있게 되면 Microsoft Defender 포털에서 주요 기능을 사용할 수 있습니다.
Copilot의 샘플 프롬프트
Microsoft Defender 포털에서 일부 Copilot 기능을 탐색하고 사용하는 데 도움이 되는 샘플 프롬프트를 찾을 수 있습니다. 프롬프트는 이러한 기능과 이를 효과적으로 사용하는 방법을 이해하는 데 도움이 되도록 설계되었습니다. 다음은 포털에 표시될 수 있는 프롬프트의 몇 가지 예입니다.
고급 헌팅 프롬프트:
위협 인텔리전스 프롬프트:
자연어 프롬프트를 사용하여 Copilot for Security 독립 실행형 포털에서 조사를 확장할 수 있습니다. 다음은 권장 사항으로 인시던트를 요약하는 데 도움이 되도록 프롬프트 표시줄에 입력할 수 있는 샘플 프롬프트입니다.
- 인시던트 요약 {인시던트 번호}를 입력하고 인시던트 요약 및 권장 사항을 생성하기 위한 권장 사항 집합으로 마무리합니다.
- 입력 스크립트에서 표시기의 평판에 대해 무엇을 알 수 있나요? 악의적인가요? 그렇다면, 왜? 스크립트를 분석하고 스크립트에 대한 세부 정보를 생성합니다.
Copilot에서 메시지를 표시하면 기능을 효과적으로 탐색하고 사용할 수 있습니다. 프롬프트 표시줄을 사용하여 KQL 쿼리를 생성하고, 인시던트 요약하고, 파일을 분석할 수도 있습니다. 효과적인 프롬프트에서 효과적인 프롬프트를 만드는 팁을 참조하세요. 미리 빌드된 프롬프트북을 사용하여 Copilot를 시작할 수도 있습니다. 프롬프트북에 대한 자세한 내용은 Copilot의 프롬프트북을 참조하세요.
피드백 제공
모든 Defender의 Copilot 기능에는 피드백을 제공하는 옵션이 있습니다. 피드백을 제공하려면 다음 단계를 수행합니다.
- 피드백 아이콘 Defender 을 선택합니다. 결과 맨 아래에 있는 Copilot 측면 패널에 카드.
- 결과가 정확하다고 판단되면 올바르게 표시 를 선택합니다. 다음 대화 상자에서 자세한 정보를 제공할 수 있습니다.
- 결과가 부족하거나 불완전한 것으로 평가한 경우 개선 필요 를 선택합니다. 다음 대화 상자에서 평가에 대한 자세한 정보를 제공하고 이 평가를 Microsoft에 제출할 수 있습니다.
- 부적절함을 선택하여 의심스러우거나 모호한 정보가 포함된 경우 결과를 보고할 수도 있습니다. 다음 대화 상자에서 결과에 대한 자세한 정보를 제공하고 제출을 선택합니다.
개인 정보 및 데이터 보안
Copilot은 관리자가 정의한 설정에 따라 저장, 처리 및 공유되는 데이터를 사용하여 지속적으로 발전합니다. Microsoft는 Copilot을 사용할 때 데이터가 항상 보호되고 안전한지 확인합니다. Copilot의 데이터 보안 및 개인 정보 보호에 대한 자세한 내용은 Copilot의 개인 정보 보호 및 데이터 보안을 참조하세요.
계속 진화하기 때문에 Copilot은 몇 가지 사항을 놓칠 수 있습니다. 결과에 대한 피드백을 검토하고 제공하면 Copilot의 향후 응답을 개선하는 데 도움이 됩니다.
Copilot for Security의 플러그 인
Copilot은 Microsoft Defender XDR, Defender 위협 인텔리전스, Natural Language to KQL for Microsoft Sentinel 및 Defender XDR 플러그 인과 같은 사전 설치된 Microsoft 플러그 인을 사용하여 관련 정보를 생성하고, 인시던트에 더 많은 컨텍스트를 제공하고, 보다 정확한 결과를 생성합니다. 관련 데이터에 대한 액세스를 허용하고 조직의 다른 Microsoft 서비스에서 요청된 콘텐츠를 생성하기 위해 Copilot에서 플러그 인이 켜져 있는지 확인합니다.
다음 단계
- 인시던트를 요약하는 방법 알아보기
- 인시던트에 대응할 때 단계별 응답 사용
- 스크립트 분석 실행
- 파일 분석
- 장치 요약 생성
- ID 요약 생성
- KQL 쿼리 생성
- 인시던트 보고서 만들기
- 위협 인텔리전스 사용
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.