다음을 통해 공유

Microsoft Sentinel을 사용하는 보안 코필로트

  • 아티클
  • 적용 대상:
    Microsoft Sentinel, Security Copilot, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot는 머신 속도와 규모로 조직을 방어하는 데 도움이 되는 플랫폼입니다. Microsoft Sentinel의 방대한 보안 데이터는 인시던트를 분석하고 헌팅 쿼리를 생성하는 데 도움이 되는 Copilot에 대한 훌륭한 원본을 제공합니다.

Microsoft Sentinel 인시던트 및 데이터는 사용하도록 설정하는 다른 보안 코필로트 원본과 함께 조직에 대한 위협 및 해당 컨텍스트에 대한 광범위한 가시성을 제공합니다.

시작하기 전에 다음 사항에 유의합니다.

보안 코필로트를 접하는 경우 다음 문서를 참조하여 익숙해져야 합니다.

Microsoft Sentinel과 보안 코필로트 통합

이 통합은 주로 채팅과 유사한 환경에서 상호 작용하여 인시던트를 요약하고 보안 데이터에 대한 다른 답변을 얻는 독립 실행형 환경을 https://securitycopilot.microsoft.com지원합니다. 자세한 내용은 Microsoft 보안 부조종사 환경을 참조 하세요.

주요 특징

Microsoft Sentinel 데이터는 두 가지 방법으로 보안 코필로트와 통합됩니다.

  • Microsoft의 통합 보안 운영 플랫폼에서 Microsoft Defender XDR의 Copilot는 Microsoft Sentinel과 통합된 통합 인시던트의 이점을 활용합니다.
  • 독립 실행형 환경에서 Microsoft Sentinel은 Security Copilot와 통합할 수 있는 두 개의 플러그 인을 제공합니다.
    Microsoft Sentinel(미리 보기)
    Microsoft Sentinel용 자연어에서 KQL(미리 보기).

Important

"Microsoft Sentinel" 및 "Microsoft Sentinel용 자연어에서 KQL" 플러그 인은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

Microsoft Sentinel과 보안 부조종사 통합 사용

Microsoft Sentinel과 보안 코필로트 통합을 최대화하려면 다음을 수행합니다.

  • 보안 부조종사에 대한 기본 Microsoft Sentinel 작업 영역 구성
  • Microsoft Sentinel 작업 영역을 Microsoft Defender XDR에 연결

Microsoft Sentinel 작업 영역 기본값 구성

Microsoft Sentinel 작업 영역을 기본값으로 구성하여 프롬프트 정확도를 높입니다.

  1. 에서 https://securitycopilot.microsoft.com/보안 코필로로 이동합니다.

  2. 프롬프트 바에서 원본 을 엽니다.

  3. 플러그 인 관리 페이지에서 토글을 켜기로 설정합니다.

  4. Microsoft Sentinel(미리 보기) 플러그 인에서 톱니 바퀴형 아이콘을 선택합니다.

    Microsoft Sentinel 플러그 인에서의 개인 설정 선택 영역의 톱니 바퀴형 아이콘 스크린샷입니다.

  5. 작업 영역 기본값 이름을 구성합니다.

    Microsoft Sentinel 플러그 인에서의 플러그 인 개인 설정 옵션의 스크린샷입니다.

구성된 기본값과 일치하지 않는 경우, 프롬프트에서 작업 영역을 지정합니다.

예: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Defender에서의 Microsoft Sentinel과 Copilot의 통합

포함된 보안 코필로트 환경을 위해 Microsoft Sentinel 데이터와 함께 Microsoft Defender 포털을 사용합니다. Microsoft Defender XDR 통합 인시던트로 흐르는 Microsoft Sentinel의 고유한 데이터 원본을 사용하면 Defender의 코필로트가 기능을 최대화할 수 있습니다.

예시:

  • SAP(미리 보기) 솔루션 은 Microsoft Sentinel의 작업 영역에 설치됩니다.
  • 근 실시간 규칙 악성 IP 주소에서 다운로드한 SAP -(미리 보기) 파일은 경고를 트리거하여 Microsoft Sentinel 인시던트를 만듭니다.
  • Microsoft Sentinel이 Defender 포털에 온보딩되었습니다.
  • 이제 Microsoft Sentinel 인시던트는 Defender XDR 인시던트와 통합됩니다.
  • Microsoft Defender의 Copilot를 사용하여 인시던트 요약, 안내된 응답 및 인시던트 보고서를 확인합니다.

Copilot이 포함된 환경이 있는 Defender 포털의 Microsoft Sentinel 인시던트 스크린샷입니다.

자세한 내용은 다음 리소스를 참조하세요.

고급 헌팅에서 보안 코필로트와 Microsoft Sentinel 통합

Microsoft Sentinel용 자연어에서 KQL(미리 보기) 플러그 인에서는 Microsoft Sentinel 데이터를 사용하여 KQL 헌팅 쿼리를 생성하고 실행합니다. 이 기능은 독립 실행형 환경 및 Microsoft Defender 포털의 고급 헌팅 섹션에서 사용할 수 있습니다.

참고 항목

통합 Microsoft Defender 포털에서 Defender XDR 및 Microsoft Sentinel 테이블 모두에 대한 고급 헌팅 쿼리를 생성하도록 Security Copilot에 메시지를 표시할 수 있습니다. 현재 모든 Microsoft Sentinel 테이블이 지원되지는 않습니다.

자세한 내용은 고급 헌팅의 보안 코필로트를 참조하세요.

샘플 Microsoft Sentinel 프롬프트

Microsoft Sentinel 인시던트 조사 프롬프트 북은 효과적인 프롬프트를 만들기 위한 시작점으로 간주됩니다. 이 프롬프트북은 관련된 경고, 평판 점수, 사용자 및 장치와 함께 특정 인시던트에 대한 보고서를 제공합니다.

지침 프롬프트
개체 ID로 응답하는 대신, 사람이 읽을 수 있는 정보를 제공하도록 Copilot를 상기시킵니다. Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot은 당신이 누구인지 알고 있습니다. "나(me)" 대명사를 사용하여 당신과 관련된 인시던트를 찾으세요. 다음 프롬프트는 당신에게 할당된 인시던트입니다. What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
프롬프트 응답을 단일 인시던트로 좁히면, Copilot는 컨텍스트를 알게 됩니다. Tell me about the entities associated with that incident.
Copilot은 요약에 능숙합니다. 프롬프트 및 응답을 요약하려는 특정 대상 그룹을 설명하세요. Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

자세한 프롬프트 지침 및 샘플은 다음 리소스를 참조하세요.

피드백 제공하기

피드백은 제품의 현재 개발 및 계획된 개발을 안내하는 데 매우 중요합니다. 이 피드백을 제공하는 가장 좋은 방법은 제품에서 직접 제공하는 것입니다. 완료된 각 프롬프트 하단에서 이 응답은 어떤가요?를 선택하고 다음 옵션 중 하나를 선택합니다.

  • 올바름 - 평가에 따라 결과가 정확한 경우 선택합니다.
  • 개선 필요 - 평가에 따라 결과의 세부 정보가 부정확하거나 불완전한 경우 선택합니다.
  • 부적절 - 결과에 의심스럽거나, 모호하거나, 잠재적으로 유해한 정보가 포함되어 있는 경우 선택합니다.

각 피드백 옵션에 대해 나타나는 다음 대화 상자에서 추가 정보를 제공할 수 있습니다. 가능할 때마다, 특히 결과가 개선 필요인 경우 결과를 개선하기 위해 수행할 수 있는 작업을 설명하는 몇 단어를 작성합니다. Azure Firewall과 관련된 프롬프트를 입력했는데 결과가 관련되지 않은 경우 해당 정보를 포함합니다.

Security Copilot의 개인 정보 보호 및 데이터 보안

보안 코필로트가 프롬프트 및 서비스에서 검색된 데이터(프롬프트 출력)를 처리하는 방법을 이해하려면 Microsoft Security Copilot의 개인 정보 및 데이터 보안을 참조하세요.