Microsoft Defender에서 Microsoft Copilot를 사용하여 인시던트 요약

적용 대상:

• Microsoft Defender XDR
• Microsoft Defender SOC(통합 보안 운영 센터) 플랫폼

Microsoft Defender XDR은 보안용 Copilot 의 기능을 적용하여 인시던트를 요약하고, 영향력 있는 정보와 인사이트를 제공하여 조사 작업을 간소화합니다. 공격 조사는 인시던트 대응 팀이 사이버 위협으로 인한 추가 피해로부터 조직을 성공적으로 방어하는 데 있어 매우 중요한 단계입니다. 조사는 많은 단계를 포함하기 때문에 시간이 많이 걸릴 수 있습니다. 인시던트 대응팀은 수많은 경고를 분류하고, 관련된 자산과 엔터티를 식별하고, 공격의 범위와 영향을 평가하는 등 공격이 어떻게 발생했는지 이해해야 합니다.

인시던트 응답자는 Defender XDR의 상관 관계 기능 및 보안의 AI 기반 데이터 처리 및 컨텍스트화를 위한 Copilot를 통해 인시던트를 조사하고 수정할 수 있는 적절한 컨텍스트를 쉽게 얻을 수 있습니다. 인시던트 요약을 통해 응답자는 조사에 도움이 되는 중요한 정보를 빠르게 얻을 수 있습니다.

인시던트 요약 기능은 보안용 Copilot 라이선스를 통해 Microsoft Defender 포털에서 사용할 수 있습니다. 이 기능은 Microsoft Defender XDR 플러그 인을 통해 보안용 Copilot 독립 실행형 환경에서도 사용할 수 있습니다.

이 가이드에서는 피드백 제공에 대한 정보를 포함하여 Defender에서 Copilot의 요약 기능에 액세스하는 방법과 예상할 사항을 간략하게 설명합니다.

인시던트 요약

최대 100개의 경고를 포함하는 인시던트를 하나의 인시던트 요약으로 요약할 수 있습니다. 데이터의 가용성에 따라 인시던트 요약에는 다음이 포함됩니다.

• 공격이 시작된 시간과 날짜입니다.
• 공격이 시작된 엔터티 또는 자산입니다.
• 공격이 어떻게 벌어지는지에 대한 타임라인 요약입니다.
• 공격에 관련된 자산입니다.
• IoC(손상 지표)입니다.
• 관련된 위협 행위자의 이름입니다.

인시던트를 요약하려면 다음 단계를 수행합니다.

1. 인시던트 페이지를 엽니다. Copilot는 페이지를 열 때 인시던트 요약을 자동으로 만듭니다. 취소를 선택하거나 다시 생성을 선택하여 만들기를 다시 시작해야 요약 만들기를 중지할 수 있습니다.

2. 인시던트 요약 카드는 Copilot 창에 로드됩니다. 카드에서 생성된 요약을 검토합니다.

   

   팁

   결과에서 증명 정보를 클릭하여 Copilot 결과 창에서 파일, IP 또는 URL 페이지로 이동할 수 있습니다.

3. 인시던트 요약 카드 맨 위에 있는 추가 작업 줄임표(...)를 선택하여 요약을 복사하거나 다시 생성하거나 보안용 Copilot 포털에서 요약을 확인합니다. 보안용 Copilot에서 열기를 선택하면 프롬프트를 입력하고 다른 플러그 인에 액세스할 수 있는 Copilot for Security 독립 실행형 포털에 새 탭이 열립니다.

   

4. 요약을 검토하고 정보를 사용하여 인시던트에 대한 조사 및 대응을 안내합니다. 피드백 아이콘 코필로트 창 아래쪽에 있는 을 선택하여 요약에 대한 피드백을 제공할 수 있습니다.

참고 항목

• 스크립트 분석 실행
• 파일 분석
• 디바이스 요약 생성
• 위협에 대응할 때 단계별 응답 사용
• KQL 쿼리 생성
• 인시던트 보고서 만들기
• Microsoft Copilot for Security 시작하기
• 보안 포함 환경을 위한 다른 Copilot에 대해 알아보기
• 보안용 Copilot의 사전 설치된 플러그 인에 대해 자세히 알아보기
• Microsoft Defender XDR에서 인시던트 조사

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.