Microsoft Defender에서 Microsoft Copilot을 사용하여 문제 보고서 만들기
Microsoft Defender 포털의 Microsoft Copilot for Security는 보안 운영 팀이 문제 보고서를 효율적으로 작성할 수 있도록 지원합니다. 보안 팀은 Copilot for Security의 AI 기반 데이터 처리를 활용하여 Microsoft Defender 포털에서 한 번의 단추 클릭으로 문제 보고서를 즉시 만들 수 있습니다.
포괄적이고 명확한 문제 보고서는 보안 팀 및 보안 운영 관리를 위한 필수 참고자료입니다. 그렇지만 중요한 세부 정보가 포함된 포괄적인 보고서를 작성하는 일은 보안 운영 팀에게 시간이 많이 걸리는 작업일 수 있습니다. 여러 원본에서 인시던트 정보를 수집하고, 구성하고, 요약하여 정보가 풍부한 보고서를 만들려면 집중과 자세한 분석이 필요합니다. 이제 Defender의 Copilot을 사용하면 보안 팀이 포털 내에서 광범위한 문제 보고서를 즉시 만들 수 있습니다.
인시던트 요약은 인시던트에 대한 개요와 인시던트가 발생 현황을 제공하고, 문제 보고서는 Microsoft Sentinel 및 Defender XDR에서 사용할 수 있는 다양한 데이터 원본으로부터 인시던트 정보를 통합합니다. Copilot에서 생성된 문제 보고서에는 모든 분석가 기반 단계별 실행 및 자동화된 작업, 인시던트 응답에 관련된 분석가, 분석가 의견도 포함됩니다. 보안 팀이 Microsoft Sentinel과 Defender XDR 둘 중 하나 또는 둘 다를 사용하든 관계없이 모든 관련 인시던트 데이터가 생성된 문제 보고서에 추가됩니다.
Copilot은 구현된 자동 작업과 수동 작업 및 인시던트에 게시된 분석가 의견과 메모를 기반으로 문제 보고서를 생성합니다. 권장 사항을 검토하고 이에 따라 Copilot이 포괄적인 문제 보고서를 만들게 할 수 있습니다.
Microsoft Defender의 문제 보고서 생성 기능은 Copilot for Security 라이선스를 통해 사용할 수 있습니다. 이 기능은 Microsoft Defender XDR 플러그 인을 통해 Copilot for Security 독립 실행형 포털에서도 사용할 수 있습니다.
이 가이드에는 문제 보고서의 데이터가 나열되어 있고, Microsoft Defender 포털에서 문제 보고서 생성 기능에 액세스하는 단계가 포함되어 있습니다. 또한 생성된 보고서에 대한 피드백을 제공하는 방법에 관한 정보도 나와 있습니다.
문제 보고서 콘텐츠
Defender의 Copilot은 다음 정보를 포함하는 문제 보고서를 만듭니다.
- 다음을 비롯한 주요 인시던트 관리 작업의 타임스탬프:
- 인시던트 만들기 및 닫기
- 분석가 기반 로그 또는 자동화된 로그와 관계없이 인시던트에서 캡처된 첫 번째 및 마지막 로그
- 인시던트 응답에 관련된 분석가
- Copilot이 요약한 분류에 대한 분석가의 추론을 포함한 인시던트 분류
- 조사 및 수정 작업
- 권장 사항, 미해결 문제 또는 인시던트 로그에서 분석가가 기록한 다음 단계와 같은 추가 작업
디바이스 격리, 사용자 비활성화 및 전자 메일 일시 삭제와 같은 작업이 문제 보고서에 포함됩니다. 문제 보고서에 포함되는 작업의 전체 목록은 알림 센터를 참조하세요. 문제 보고서에는 실행된 Microsoft Sentinel 플레이북도 포함됩니다. 공용 API 원본 또는 사용자 지정 검색에서 나오는 실시간 응답 명령 및 응답 작업은 아직 지원되지 않습니다.
수행된 모든 작업을 보려면 인시던트를 해결하는 것이 좋습니다. 해결되지 않은 인시던트는 문제 보고서의 작업을 부분적으로 반영합니다.
문제 보고서 만들기
Defender에서 Copilot을 사용하여 문제 보고서를 만들려면 다음 단계를 따르세요.
인시던트 페이지를 엽니다. 인시던트 페이지에서 추가 작업 줄임표(...)로 이동한 다음 문제 보고서 생성을 선택합니다. 또는 Copilot 측면 패널에 있는 보고서 아이콘을 선택해도 됩니다.
Copilot이 문제 보고서를 만듭니다. 취소를 선택하여 보고서 만들기를 중지하고 다시 생성을 선택하여 만들기를 다시 시작할 수 있습니다. 또한 오류가 발생하는 경우 보고서 만들기를 다시 시작할 수 있습니다.
문제 보고서 카드가 Copilot 창에 나타납니다. 생성된 보고서는 Microsoft Defender XDR과 Microsoft Sentinel에서 사용할 수 있는 인시던트 정보에 따라 달라집니다. 포괄적인 문제 보고서가 생성되게 하려면 권장 사항을 참조하세요.
문제 보고서 카드의 오른쪽 위에 있는 추가 작업 줄임표(...)를 선택합니다. 보고서를 복사하려면 클립보드에 복사를 선택하고 기본 설정 시스템에 보고서를 붙여넣거나, 활동 로그에 게시를 선택하여 Microsoft Defender 포털의 활동 로그에 보고서를 추가하거나, PDF로 인시던트 내보내기를 선택하여 인시던트 데이터를 PDF에 내보냅니다. 다시 생성을 선택하여 보고서 만들기를 다시 시작합니다. 또한 Copilot for Security에서 열기를 사용하여 결과를 보고 Copilot for Security 독립 실행형 포털에서 사용할 수 있는 다른 플러그 인에 계속 액세스할 수 있습니다.
생성된 문제 보고서를 검토합니다. 결과 아래에 있는 피드백 아이콘을 선택하여 보고서에 대한 피드백을 제공할 수 있습니다.
PDF에 인시던트 내보내기
인시던트 데이터를 PDF에 내보내 관련자와 쉽게 공유할 수 있는 보고서를 만들 수 있습니다. 내보낸 인시던트 데이터에는 공격 스토리, 영향을 받은 자산, 관련 경고와 같은 관련 정보와 인시던트 요약과 문제 보고서와 같은 Copilot에서 AI로 생성된 콘텐츠가 포함됩니다. 이 기능을 통해 보안 팀은 팀 구성원들 또는 다른 관련자와의 인시던트 후 토론에 필요한 더 많은 인시던트 정보를 신속하게 내보낼 수 있습니다.
PDF에 인시던트 데이터 내보내기 단계를 따라 PDF를 생성할 수 있습니다.
문제 보고서 만들기에 대한 권장 사항
다음은 Copilot이 포괄적이고 완전한 문제 보고서를 생성하도록 하기 위해 고려해야 할 몇 가지 권장 사항입니다.
- 문제 보고서를 생성하기 전에 인시던트를 분류하고 해결합니다.
- Microsoft Sentinel 활동 로그 또는 Microsoft Defender XDR 인시던트 활동 로그에 메모를 작성하고 저장하여 문제 보고서에 메모가 포함되도록 합니다.
- 포괄적이고 명확한 언어를 사용하여 메모를 작성합니다. 심층적이고 명확한 메모는 응답 작업에 관한 더 나은 맥락을 제공합니다. 메모 필드에 액세스하는 방법은 다음 단계를 참조하세요.
- Microsoft Defender 포털에서 인시던트에 메모 추가
- Microsoft Sentinel에서 인시던트에 메모 추가
- ServiceNow 사용자의 경우 Microsoft Sentinel 및 ServiceNow 양방향 동기화 사용을 통해 더욱 강력한 인시던트 데이터를 가져옵니다.
- 생성된 문제 보고서를 복사하고 Microsoft Defender 포털의 활동 로그에 게시하여 문제 보고서가 인시던트 페이지에 저장되도록 합니다.
참고 항목
- Microsoft Copilot for Security 시작하기
- 다른 Copilot for Security 포함된 환경에 관해 알아보기
- Copilot for Security의 사전 설치된 플러그 인에 관해 더 알아보기
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.