다음을 통해 공유

Microsoft Security Copilot의 Azure Firewall 통합(미리 보기)

  • 아티클

Important

Microsoft Security Copilot의 Azure Firewall 통합은 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

보안 코필로트는 보안 담당자의 효율성과 역량을 향상시켜 머신 속도와 규모에 따라 보안 결과를 개선하는 데 도움이 되는 생성된 AI 기반 보안 솔루션입니다. 인시던트 대응, 위협 헌팅, 인텔리전스 수집, 태세 관리와 같은 엔드투엔드 시나리오에서 보안 전문가를 지원하는 데 도움이 되는 자연어 보조 Copilot 환경을 제공합니다. 수행할 수 있는 작업에 대한 자세한 내용은 Microsoft 보안 부조종사란?을 참조 하세요.

시작하기 전에 다음 사항에 유의합니다.

보안 코필로트를 접하는 경우 다음 문서를 참조하여 익숙해져야 합니다.

Azure Firewall의 보안 부조합 통합

Azure Firewall은 Azure에서 실행되는 클라우드 워크로드에 대해 동급 최강의 위협 보호를 제공하는 클라우드 네이티브 및 지능형 네트워크 방화벽 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다.

Security Copilot의 Azure Firewall 통합은 분석가가 자연어 질문을 사용하여 전체 함대에서 방화벽의 IDPS 기능으로 가로채는 악의적인 트래픽에 대한 자세한 조사를 수행하는 데 도움이 됩니다.

다음 두 가지 환경에서 이 통합을 사용할 수 있습니다.

자세한 내용은 Azure 기능의 Microsoft Security Copilot 환경Microsoft Copilot를 참조하세요.

주요 특징

Security Copilot에는 켜져 있는 다른 플러그 인에서 데이터를 가져올 수 있는 기본 제공 시스템 기능이 있습니다.

Azure Firewall에 대한 기본 제공 시스템 기능 목록을 보려면 Security Copilot 포털에서 다음 절차를 사용합니다.

  1. 프롬프트 표시줄에서 프롬프트 아이콘을 선택합니다.

  2. 모든 시스템 기능 보기를 선택합니다.

  3. Azure Firewall 섹션에는 사용할 수 있는 모든 사용 가능한 기능이 나열됩니다.

    Microsoft Security Copilot의 Azure Firewall에 대한 시스템 기능 스크린샷

Security Copilot에서 Azure Firewall 통합 사용

  1. Azure Firewall이 올바르게 구성되었는지 확인합니다.

    • Azure Firewall 구조적 로그 – 보안 코필로트와 함께 사용할 Azure Firewall은 IDPS에 대한 리소스별 구조적 로그로 구성해야 하며 이러한 로그는 Log Analytics 작업 영역으로 전송되어야 합니다.

    • Azure Firewall 에 대한 역할 기반 액세스 제어 - Security Copilot에서 Azure Firewall 플러그 인을 사용하는 사용자는 방화벽 및 연결된 Log Analytics 작업 영역에 액세스하기 위한 적절한 Azure 역할 기반 액세스 제어 역할이 있어야 합니다.

  2. 보안 부조종사이동하여 자격 증명으로 로그인합니다.

  3. Azure Firewall 플러그 인이 켜져 있는지 확인합니다. 프롬프트 표시줄에서 원본 아이콘을 선택합니다. 표시되는 원본 관리 팝업 창에서 Azure Firewall 토글이 켜져 있는지 확인합니다. 그런 다음 창을 닫습니다. 다른 구성은 필요하지 않습니다. 구조적 로그가 Log Analytics 작업 영역으로 전송되고 적절한 역할 기반 액세스 제어 권한이 있는 한, Copilot는 질문에 대답하는 데 필요한 데이터를 찾습니다.

    Azure Firewall 플러그 인을 보여 주는 스크린샷

  4. 보안 코필로트 포털 또는 Azure Portal의 Azure 환경에서 Copilot를 통해 프롬프트 표시줄에 프롬프트를 입력합니다.

    Important

    Azure에서 Copilot를 사용하여 Azure Firewall을 쿼리하는 것은 Security Copilot에 포함되며 SCU(보안 컴퓨팅 단위)가 필요합니다. SCU를 프로비전하고 언제든지 늘리거나 줄일 수 있습니다. SCU에 대한 자세한 내용은 Microsoft 보안 코필로트 시작을 참조하세요. 보안 코필로트가 제대로 구성되지 않았지만 Azure 환경에서 Copilot를 통해 Azure Firewall 기능에 대한 재지정 질문을 하면 오류 메시지가 표시됩니다.

샘플 Azure Firewall 프롬프트

Azure Firewall에서 정보를 가져오는 데 사용할 수 있는 프롬프트가 많이 있습니다. 이 섹션에는 현재 가장 적합한 항목이 나열됩니다. 새 기능이 시작되면 지속적으로 업데이트됩니다.

Azure Firewall에 대한 상위 IDPS 서명 적중 검색

KQL 쿼리를 수동으로 생성하는 대신 IDPS 기능에서 가로채는 트래픽에 대한 로그 정보를 가져옵니다.

샘플 프롬프트:

  • 내 방화벽 <방화벽 이름>이(가) 악성 트래픽을 가로챈 적이 있나요?

  • 리소스 그룹 <리소스 그룹 이름>의 방화벽 <방화벽 이름>에 대한 지난 7일 간의 상위 20개 IDPS 적중은 무엇인가요?

  • 지난 달 구독 <구독 이름>의 방화벽 <방화벽 이름>을(를) 대상으로 한 상위 50개 공격을 테이블 형식으로 표시해 주세요.

    Azure Firewall 기능에 대한 상위 IDPS 서명 적수 검색을 보여 주는 스크린샷

로그 정보를 넘어 IDPS 서명의 위협 프로필 보강

IDPS 서명의 위협 정보/프로필을 수동으로 컴파일하는 대신 추가 세부 정보를 가져옵니다.

샘플 프롬프트:

  • IDPS가 상위 적중을 높은 심각도로, 다섯 번째 적중을 낮은 심각도로 플래그를 지정한 이유를 설명합니다.

  • 이 공격에 대해 무엇을 알 수 있나요? 이 공격자가 알려진 다른 공격은 무엇인가요?

  • 세 번째 서명 ID가 CVE <CVE 번호>에 연결되어 있음을 확인했습니다. 이 CVE에 대해 자세히 알려주세요.

    로그 정보 기능 이상으로 IDPS 서명의 위협 프로필 보강을 보여 주는 스크린샷

참고 항목

Microsoft Threat Intelligence 플러그 인은 보안 코필로트가 IDPS 서명에 대한 위협 인텔리전스를 제공하는 데 사용할 수 있는 또 다른 소스입니다.

테넌트, 구독 또는 리소스 그룹에서 지정된 IDPS 서명 찾기

위협을 수동으로 검색하는 대신 모든 방화벽에서 위협에 대한 집합 전체 검색을 모든 범위에 걸쳐 수행합니다.

샘플 프롬프트:

  • 서명 ID <ID 번호>은(는) 이 방화벽에서만 중지되었나요? 이 전체 테넌트에서 다른 것은 어떤가요?

  • 구독 <구독 이름>의 다른 방화벽에서 상위 적중이 표시되었나요?

  • 지난 한 주 동안 리소스 그룹 <리소스 그룹 이름>의 방화벽에서 서명 ID <ID 번호>이(가) 표시되었나요?

    테넌트, 구독 또는 리소스 그룹 기능에서 지정된 IDPS 서명 찾기를 보여 주는 스크린샷

Azure Firewall의 IDPS 기능을 사용하여 환경을 보호하기 위한 권장 사항 생성

이 정보를 수동으로 조회하는 대신 Azure Firewall의 IDPS 기능을 사용하여 환경을 보호하는 방법에 대한 정보를 설명서에서 가져옵니다.

샘플 프롬프트:

  • 전체 인프라에서 이 공격자의 향후 공격으로부터 자신을 보호하려면 어떻게 해야 하나요?

  • 서명 ID ID <번호>의 공격으로부터 모든 Azure Firewall을 보호하려면 어떻게 해야 하나요?

  • IDPS에 대한 경고 전용 모드와 경고 및 차단 모드 간의 위험 차이는 무엇인가요?

    Azure Firewall의 IDPS 기능 기능을 사용하여 환경을 보호하기 위해 생성된 권장 사항을 보여 주는 스크린샷.

    참고 항목

    보안 부조종사도 Microsoft 설명서 요청 기능을 사용하여 이 정보를 제공할 수 있으며, Azure 환경에서 Copilot를 통해 이 기능을 사용하는 경우 정보 가져오기 기능을 사용하여 이 정보를 제공할 수 있습니다.

피드백 제공하기

피드백은 제품의 현재 개발 및 계획된 개발을 안내하는 데 매우 중요합니다. 이 피드백을 제공하는 가장 좋은 방법은 제품에서 직접 제공하는 것입니다.

보안 코필로트를 통해

완료된 각 프롬프트 하단에서 이 응답은 어떤가요?를 선택하고 다음 옵션 중 하나를 선택합니다.

  • 올바름 - 평가에 따라 결과가 정확한 경우 선택합니다.
  • 개선 필요 - 평가에 따라 결과의 세부 정보가 부정확하거나 불완전한 경우 선택합니다.
  • 부적절 - 결과에 의심스럽거나, 모호하거나, 잠재적으로 유해한 정보가 포함되어 있는 경우 선택합니다.

각 피드백 옵션에 대해 후속 대화 상자에서 추가 정보를 제공할 수 있습니다. 가능할 때마다, 특히 결과가 개선이 필요한 경우 결과를 개선할 수 있는 방법을 설명하는 몇 가지 단어를 작성합니다. Azure Firewall과 관련된 프롬프트를 입력했고 결과가 관련되지 않은 경우 해당 정보를 포함합니다.

Azure의 코필로트를 통해

완료된 각 프롬프트의 맨 아래에 있는 좋아요 단추와 싫어하는 단추를 사용합니다. 피드백 옵션의 경우 후속 대화 상자에서 추가 정보를 제공할 수 있습니다. 가능할 때마다, 특히 응답을 싫어하는 경우 결과를 개선할 수 있는 방법을 설명하는 몇 가지 단어를 작성합니다. Azure Firewall과 관련된 프롬프트를 입력했고 결과가 관련되지 않은 경우 해당 정보를 포함합니다.

Security Copilot의 개인 정보 보호 및 데이터 보안

Security Copilot 포털을 통해 또는 Azure 환경의 Copilot를 통해 보안 코필로트와 상호 작용하여 Azure Firewall 데이터를 가져오는 경우 Copilot는 Azure Firewall에서 해당 데이터를 가져옵니다. 프롬프트, 검색된 데이터, 프롬프트 결과에 표시된 출력은 Copilot 서비스 내에서 처리되고 저장됩니다. 자세한 내용은 Microsoft Security Copilot의 개인 정보 및 데이터 보안을 참조하세요.

관련 콘텐츠