Microsoft Defender에서 Microsoft Copilot의 안내된 응답을 사용하여 인시던트 심사 및 조사
적용 대상:
- Microsoft Defender XDR
- Microsoft Defender SOC(통합 보안 운영 센터) 플랫폼
Microsoft Defender 포털의 보안용 Microsoft Copilot 는 단계별 대응으로 인시던트를 즉시 해결하는 인시던트 대응 팀을 지원합니다. Defender의 Copilot는 AI 및 기계 학습 기능을 사용하여 인시던트를 컨텍스트화하고 이전 조사에서 학습하여 적절한 대응 작업을 생성합니다.
Microsoft Defender 포털에서 인시던트에 대응하려면 공격을 중지하기 위해 포털에서 사용할 수 있는 작업을 숙지해야 하는 경우가 많습니다. 또한 새 인시던트 대응 담당자의 경우 인시던트 대응의 시작점과 그 방법이 다를 수 있습니다. Defender에서 Copilot의 단계별 대응 기능을 사용하면 모든 수준의 인시던트 대응 팀이 안심하고 신속하게 대응 작업을 적용하여 인시던트를 쉽게 해결할 수 있습니다.
단계별 응답은 보안용 Copilot 라이선스를 통해 Microsoft Defender 포털에서 사용할 수 있습니다. 단계별 응답은 Defender XDR 플러그 인을 통해 보안용 Copilot 독립 실행형 환경에서도 사용할 수 있습니다.
이 가이드에서는 응답에 대한 피드백 제공 정보를 포함하여 단계별 응답 기능에 액세스하는 방법을 간략하게 설명합니다.
단계별 응답을 적용하여 인시던트 해결
단계별 대응은 다음 범주의 작업을 권장합니다.
- 심사 - 인시던트를 정보성, 진양성 또는 가양성으로 분류하는 권장 사항을 포함합니다.
- 저지 - 인시던트를 저지하는 권장 조치를 포함합니다.
- 조사 - 추가 조사를 위한 권장 조치를 포함합니다.
- 수정 - 인시던트에 관련된 특정 엔터티에 적용할 권장 대응 작업을 포함합니다.
각 카드에는 작업을 적용해야 하는 엔터티와 작업을 권장하는 이유를 포함하여 권장 작업에 대한 정보가 포함되어 있습니다. 또한 이 카드는 공격 중단 또는 자동화된 조사 대응과 같은 자동화된 조사를 통해 권장 조치를 수행한 경우를 강조 합니다.
단계별 응답 카드는 각 카드의 사용 가능한 상태에 따라 정렬할 수 있습니다. 단계별 응답을 볼 때 상태를 클릭하고 보려는 적절한 상태를 선택하여 특정 상태를 선택할 수 있습니다. 상태에 관계없이 모든 단계별 응답 카드는 기본적으로 표시됩니다.
단계별 대응을 사용하려면 다음 단계를 수행합니다.
인시던트 페이지를 엽니다. Copilot는 인시던트 페이지를 열 때 단계별 응답을 자동으로 생성합니다. 인시던트 페이지의 오른쪽에 Copilot 창이 나타나며 안내 응답 카드가 표시됩니다.
권장 사항을 적용하기 전에 각 카드를 검토합니다. 응답 카드 위에 있는 기타 작업 줄임표(...)를 선택하여 각 권장 사항에 사용할 수 있는 옵션을 확인합니다. 다음은 몇 가지 예입니다.
작업을 적용하려면 각 카드에 있는 원하는 작업을 선택합니다. 각 카드의 단계별 대응 작업은 인시던트 유형 및 관련된 특정 엔터티에 맞게 조정됩니다.
각 응답 카드에 피드백을 제공하여 Copilot의 향후 응답을 지속적으로 향상시킬 수 있습니다. 피드백을 제공하려면 각 카드의 오른쪽 아래에 을 선택합니다.
참고
회색으로 표시된 작업 단추는 이러한 작업이 사용자의 권한에 의해 제한됨을 의미합니다. 자세한 내용은 통합 RBAC(역할 기반 액세스) 권한 페이지를 참조하세요.
Defender의 Copilot는 분석가가 추가 인사이트를 사용하여 응답 작업에 대한 더 많은 컨텍스트를 얻을 수 있도록 하여 인시던트 대응 팀을 지원합니다. 수정 대응의 경우 인시던트 대응 팀은 유사한 인시던트 보기 또는 유사한 전자 메일 보기와 같은 옵션을 사용하여 추가 정보를 볼 수 있습니다.
조직 내에 현재 인시던트와 유사한 다른 인시던트 발생 시 유사한 인시던트 보기 작업을 사용할 수 있습니다. 유사한 인시던트 탭에는 검토할 수 있는 유사한 인시던트가 나열됩니다. Microsoft Defender는 기계 학습을 통해 조직 내에서 유사한 인시던트가 자동으로 식별됩니다. 인시던트 대응 팀은 이 유사한 인시던트의 정보를 사용하여 인시던트를 분류하고 유사한 인시던트에서 수행된 작업을 추가로 검토할 수 있습니다.
피싱 인시던트와 관련된 유사한 전자 메일 보기 작업을 선택하면 고급 헌팅 페이지로 이동하게 됩니다. 여기서 조직 내 유사한 전자 메일을 나열하는 KQL 쿼리가 자동으로 생성됩니다. 인시던트와 관련된 이 자동 쿼리 생성은 인시던트 대응 팀이 인시던트와 관련이 있을 수 있는 다른 전자 메일을 추가로 조사하는 데 도움이 됩니다. 쿼리를 검토하고 필요에 따라 수정할 수 있습니다.
참고 항목
- 인시던트 요약
- 파일 분석
- 스크립트 분석 실행
- 문제 보고서 만들기
- KQL 쿼리 생성
- Microsoft Copilot for Security 시작하기
- 보안 포함 환경을 위한 다른 Copilot에 대해 알아보기
- 보안용 Copilot의 사전 설치된 플러그 인에 대해 자세히 알아보기
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기