다음을 통해 공유

Microsoft Copilot for Security 및 Microsoft Defender 위협 인텔리전스

  • 아티클

중요

2024년 6월 30일에 Microsoft Defender 위협 인텔리전스(Defender TI) 독립 실행형 포털(https://ti.defender.microsoft.com)이 사용 중지되어 더 이상 액세스할 수 없습니다. 고객은 Microsoft Defender 포털에서 또는 Microsoft Copilot for Security와 함께 Defender TI를 계속 사용할 수 있습니다. 자세한 정보

Microsoft Copilot for Security는 자연어 Copilot 환경을 제공하는 클라우드 기반 AI 플랫폼입니다. 인시던트 대응, 위협 헌팅 및 인텔리전스 수집과 같은 다양한 시나리오에서 보안 전문가를 지원하는 데 도움이 됩니다. 수행할 수 있는 작업에 대한 자세한 내용은 Microsoft Copilot for Security란?을 참조하세요.

Copilot for Security는 Microsoft Defender 위협 인텔리전스와 통합됩니다.

Copilot for Security는 위협 행위자, IOC(손상 지표), 도구 및 취약성뿐만 아니라 Microsoft Defender TI(위협 인텔리전스)의 컨텍스트 위협 인텔리전스에 대한 정보를 제공합니다. 프롬프트 및 프롬프트북을 사용하여 인시던트를 조사하거나, 위협 인텔리전스 정보로 헌팅 흐름을 강화하거나, 조직 또는 글로벌 위협 환경에 대한 자세한 정보를 얻을 수 있습니다.

이 문서는 Copilot을 소개하고 Defender TI 사용자에게 도움이 되는 샘플 프롬프트를 포함합니다.

시작하기 전에 다음 사항에 유의합니다.

  • Copilot 기능을 사용하여 Copilot for Security 포털 또는 Microsoft Defender 포털에서 위협 인텔리전스를 표시할 수 있습니다. Copilot for Security 환경에 대해 자세히 알아보기

  • 프롬프트에 명확하고 구체적으로 입력합니다. 프롬프트에 특정 위협 행위자 이름 또는 IOC를 포함하면 더 나은 결과를 얻을 수 있습니다. 다음과 같이 프롬프트에 위협 인텔리전스를 추가하는 경우에도 도움이 될 수 있습니다.

    • Aqua Blizzard에 대한 위협 인텔리전스 데이터를 보여줘.
    • "malicious.com"에 대한 위협 인텔리전스 데이터를 요약해 줘.

  • 인시던트를 참조할 때는 구체적으로 설명합니다(예: "인시던트 ID 15324").

  • 사용 사례에 가장 적합한 것을 알 수 있도록 다양한 프롬프트와 변형을 실험합니다. 채팅 AI 모델은 다양하므로 받는 결과를 바탕으로 프롬프트를 반복하고 상세 검색합니다.

  • Copilot for Security는 프롬프트 세션을 저장합니다. 이전 세션을 보려면 Copilot 홈 메뉴에서 내 세션으로 이동합니다.

    내 세션이 강조 표시된 보안 홈 메뉴의 Microsoft Copilot 보여 주는 스크린샷

    참고

    고정 및 공유 기능을 포함하여 Copilot에 대한 자세한 설명은 Microsoft Copilot for Security 탐색을 참조하세요.

효과적인 프롬프트 만들기에 대해 자세히 알아보기

Copilot for Security 독립 실행형 포털을 사용하여 위협 인텔리전스 가져오기

  1. Microsoft Copilot for Security로 이동하여 자격 증명으로 로그인합니다.

  2. Defender TI 플러그 인이 켜져 있는지 확인합니다. 프롬프트 바에서 원본 아이콘을 선택합니다. 원본 아이콘의 스크린샷.

    원본 아이콘이 강조 표시된 Microsoft Copilot for Security의 프롬프트 바 스크린샷.

    표시되는 원본 관리 팝업 창의 플러그 인 아래에서 Microsoft 위협 인텔리전스 토글이 켜져 있는지 확인한 다음 창을 닫습니다.

    참고

    일부 역할은 Defender TI와 같은 플러그 인에 대해 토글을 켜거나 끌 수 있습니다. 자세한 내용은 Microsoft Copilot for Security에서 플러그 인 관리를 참조하세요.

  1. 프롬프트 바에 프롬프트를 입력합니다.

기본 제공 시스템 기능

Copilot for Security에는 켜져 있는 다른 플러그 인에서 데이터를 가져올 수 있는 기본 제공 시스템 기능이 있습니다.

Defender TI에 대한 기본 제공 시스템 기능 목록을 보려면:

  1. 프롬프트 바에서 프롬프트 아이콘을 선택합니다. 프롬프트 아이콘의 스크린샷.

    프롬프트 아이콘이 강조 표시된 Microsoft Copilot for Security의 프롬프트 바 스크린샷.

  2. 모든 시스템 기능 보기를 선택합니다. Microsoft Defender 위협 인텔리전스 섹션에는 사용할 수 있는 Defender TI의 사용할 수 있는 모든 기능이 나열됩니다.

Copilot에는 Defender TI의 정보도 제공하는 다음과 같은 프롬프트북이 있습니다.

  • 위협 행위자 프로필 – 일반적인 도구 및 전술에 대한 방어 제안을 포함하여 알려진 위협 행위자를 프로파일링하는 보고서를 생성합니다.
  • 취약성 영향 평가 – 문제를 해결하는 방법에 대한 단계를 포함하여 알려진 취약성에 대한 인텔리전스를 요약하는 보고서를 생성합니다.

이러한 프롬프트북을 보려면 프롬프트 바에서 프롬프트 아이콘을 선택한 다음 모든 프롬프트북 보기를 선택합니다.

Defender TI에 대한 샘플 프롬프트

많은 프롬프트를 사용하여 Defender TI에서 정보를 가져올 수 있습니다. 이 섹션에서는 몇 가지 아이디어와 예를 소개합니다.

위협 문서 및 위협 행위자에서 위협 인텔리전스를 가져와 줘.

샘플 프롬프트 :

  • 최근 위협 인텔리전스를 요약해 줘.
  • 최신 위협 문서를 보여줘.
  • 지난 6개월 동안 랜섬웨어와 관련된 위협 문서를 가져와 줘.

위협 인텔리전스와 관련된 IP 주소 및 호스트 컨텍스트 정보

포트, 평판 점수, 구성 요소, 인증서, 쿠키, 서비스 및 호스트 쌍과 같은 IP 주소 및 호스트와 연결된 데이터 세트에 대한 정보를 가져와 줘.

샘플 프롬프트:

  • 호스트 <호스트 이름>의 평판을 보여줘.
  • IP 주소 <IP 주소>에 대한 확인을 가져와 줘.

위협 행위자 매핑 및 인프라

위협 행위자 및 TTP(전술, 기술 및 절차), 지원 정부, 산업 및 이와 관련된 IOC 정보를 가져와 줘.

샘플 프롬프트:

  • Silk Typhoon에 대해 자세히 알려줘.
  • Silk Typhoon과 관련된 IOC를 공유해 줘.
  • Silk Typhoon과 관련된 TTP를 공유해 줘.
  • 러시아와 관련된 위협 행위자를 공유해 줘.

CVE의 취약점 데이터

CVE(공개 취약점 및 노출)에 대한 컨텍스트 정보 및 위협 인텔리전스를 가져와 줘.

샘플 프롬프트:

  • 취약점 CVE-2021-44228에 취약한 기술을 공유해 줘.
  • 취약점 CVE-2021-44228을 요약해 줘.
  • 최신 CVE를 보여줘.
  • CVE-2021-44228과 관련된 위협 행위자를 보여줘.
  • CVE-2021-44228과 관련된 위협 문서를 보여줘.

피드백 제공

Copilot for Security와 Defender TI 통합에 대한 피드백은 개발에 도움이 됩니다. 피드백을 제공하려면 Copilot에서 이 응답은 어떻게 합니까? 를 선택합니다. 완료된 각 프롬프트의 맨 아래에서 다음 옵션 중 하나를 선택합니다.

  • 맞아 보임 - 평가에 따라 결과가 정확한 경우 이 단추를 선택합니다.
  • 개선 필요 - 평가에 따라 결과의 세부 정보가 잘못되거나 불완전한 경우 이 단추를 선택합니다.
  • 부적절함 - 결과에 의심스럽거나 모호하거나 잠재적으로 유해한 정보가 포함된 경우 이 단추를 선택합니다.

각 피드백 단추에 대해 표시되는 다음 대화 상자에서 자세한 정보를 제공할 수 있습니다. 가능하면, 결과가 개선 필요일 때 이를 개선하기 위해 할 수 있는 작업을 간단히 작성합니다. Defender TI와 관련된 프롬프트를 입력했는데 결과가 관련되지 않은 경우 해당 정보를 포함합니다.

Defender에서 Microsoft Copilot를 사용하여 위협 인텔리전스 가져오기

Copilot for Security 고객은 인증된 각 Copilot 사용자에 대해 Microsoft Defender 포털 내에서 Defender TI에 대한 액세스 권한을 얻습니다. Copilot에 대한 액세스 권한이 있는지 확인하려면 Copilot for Security 구매 및 라이선스 정보를 참조하세요.

Copilot for Security에 액세스할 수 있게 되면 다음 섹션에서 설명하는 주요 기능은 Defender 포털의 다음 위협 인텔리전스 섹션에서 액세스할 수 있게 됩니다.

  • 위협 분석
  • Intel 프로필
  • Intel 탐색기
  • Intel 프로젝트

주요 기능

Defender의 Copilot는 보안 팀이 위협 인텔리전스 정보를 즉시 이해하고, 우선 순위를 지정하고, 조치를 취할 수 있도록 보안 기능을 위한 Copilot를 포털에 제공합니다.

위협 행위자, 공격 캠페인 또는 자세히 알고 싶은 기타 위협 인텔리전스에 대해 질문할 수 있으며 Copilot은 위협 분석 보고서, 인텔 프로필 및 문서 및 기타 Defender TI 콘텐츠를 기반으로 응답을 생성합니다. 다음 작업을 수행할 수 있게 하는 사용 가능한 기본 제공 프롬프트를 선택할 수도 있습니다.

  • 조직과 관련된 최신 위협 요약
  • 이러한 위협에 대한 환경의 가장 높은 노출 수준에 따라 초점을 맞출 위협에 우선순위 지정
  • 통신 인프라 산업을 대상으로 하는 위협 행위자 질문

위협 인텔리전스를 위해 Defender의 Copilot 사용에 대해 자세히 알아보기

데이터 처리 및 개인 정보

Copilot for Security와 상호 작용하여 Defender TI 데이터를 가져오면 Copilot은 Defender TI에서 해당 데이터를 가져옵니다. 프롬프트, 검색된 데이터 및 프롬프트 결과에 표시된 출력은 Copilot 서비스 내에서 처리되고 저장됩니다. Microsoft Copilot for Security의 개인 정보 보호 및 데이터 보안에 대해 자세히 알아보기

참고 항목