다음을 통해 공유

고급 헌팅에서의 Microsoft Security Copilot

  • 아티클
  • 적용 대상:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

적용 대상:

  • Microsoft Defender
  • Microsoft Defender XDR

고급 헌팅에서의 Security Copilot

Microsoft Defender Microsoft Security Copilot 고급 헌팅의 쿼리 도우미 기능이 함께 제공됩니다.

아직 익숙하지 않거나 KQL(Kusto 쿼리 언어)을 아직 학습하지 않은 위협 사냥꾼 또는 보안 분석가는 자연어로 요청하거나 질문을 할 수 있습니다(instance 경우 사용자 관리자와 관련된 모든 경고 가져오기123). 그러면 Security Copilot은 고급 헌팅 데이터 스키마를 사용하여 요청에 해당하는 KQL 쿼리를 생성합니다.

이 기능은 헌팅 쿼리를 처음부터 작성하는 데 걸리는 시간을 줄여 주므로 위협 헌터와 보안 분석가가 위협 헌팅 및 조사에 집중할 수 있습니다.

Security Copilot에 액세스할 수 있는 사용자는 고급 헌팅에서 이 기능에 액세스할 수 있습니다.

참고

고급 헌팅 기능은 Microsoft Defender XDR 플러그 인을 통해 Security Copilot 독립 실행형 환경에서도 사용할 수 있습니다. Security Copilot 사전 설치된 플러그 인에 대해 자세히 알아보세요.

첫 번째 요청 사용해 보기

  1. Microsoft Defender XDR 탐색 모음에서 고급 헌팅 페이지를 엽니다. 고급 헌팅을 위한 Security Copilot 측면 창이 오른쪽에 나타납니다.

    고급 헌팅의 Copilot 창 스크린샷.

    쿼리 편집기의 맨 위에서 Copilot을 선택하여 Copilot을 다시 열 수도 있습니다.

  2. Copilot 프롬프트 표시줄에서 실행하려는 위협 헌팅 쿼리를 요청하고 누르거나 Enter 키를 누릅니다.

    고급 헌팅을 위한 Security Copilot 프롬프트 표시줄을 보여 주는 스크린샷

  3. Copilot은 입력한 텍스트 명령 또는 질문에서 KQL 쿼리를 생성합니다. Copilot이 생성하는 동안 생성 중지를 선택하여 쿼리 생성을 취소할 수 있습니다.

    응답을 생성하는 고급 헌팅의 Security Copilot 스크린샷

  4. 생성된 쿼리를 검토합니다. Copilot가 쿼리를 어떻게 내놓았는지 검사 쿼리 텍스트 아래의 쿼리 뒤에 있는 논리 보기를 선택하여 쿼리 뒤에 있는 설명을 확장할 수 있습니다. 최소화하려면 다시 선택합니다.

    쿼리 뒤에 있는 논리 보기를 보여 주는 Copilot 단추의 스크린샷

    그런 다음 쿼리 실행을 선택하여 쿼리를 실행하도록 선택할 수 있습니다.

    쿼리 실행 옵션을 보여 주는 Copilot 단추의 스크린샷

    생성된 쿼리는 쿼리 편집기에서 마지막 쿼리로 표시되고 자동으로 실행됩니다.

    추가 조정이 필요한 경우 편집기에 추가를 선택합니다.

    편집기 추가 옵션을 보여 주는 고급 헌팅의 Security Copilot 스크린샷

    생성된 쿼리는 쿼리 편집기에 마지막 쿼리로 표시됩니다. 여기서 쿼리 편집기 위에 있는 일반 쿼리 실행을 사용하여 실행하기 전에 쿼리를 편집할 수 있습니다.

  5. 피드백 아이콘 피드백 아이콘 스크린샷 아이콘을 선택하고 올바르게 표시, 개선 필요 또는 부적절을 선택하여 생성된 응답에 대한 피드백을 제공할 수 있습니다.

피드백을 제공하는 것은 Security Copilot 팀이 쿼리 도우미 유용한 KQL 쿼리를 생성하는 데 얼마나 잘 도움이 되었는지 알 수 있는 중요한 방법입니다. 쿼리를 더 좋게 만들 수 있는 항목, 생성된 KQL 쿼리를 실행하기 전에 수행해야 했던 조정 사항을 자유롭게 설명하거나, 결국 사용한 KQL 쿼리를 공유하세요.

참고

통합 Microsoft Defender 포털에서 Security Copilot Defender XDR 테이블과 Microsoft Sentinel 테이블에 대한 고급 헌팅 쿼리를 생성하라는 메시지를 표시할 수 있습니다. 현재 모든 Microsoft Sentinel 테이블이 지원되는 것은 아니지만 향후 이러한 테이블에 대한 지원이 예상될 수 있습니다.

쿼리 세션

고급 헌팅의 Copilot 측면 창에서 질문을 하여 언제든지 첫 번째 세션을 시작할 수 있습니다. 세션에는 사용자 계정을 사용하여 제출한 요청이 포함됩니다. 측면 창을 닫거나 고급 헌팅 페이지를 새로 고쳐도 세션이 삭제되지 않습니다. 필요한 경우 생성된 쿼리에 계속 액세스할 수 있습니다.

채팅 말풍선 아이콘(새 채팅)을 선택하여 현재 세션을 삭제합니다.

새 채팅 아이콘을 보여 주는 고급 헌팅의 Security Copilot 스크린샷

쿼리 설명

설정 수정

Copilot 측면 창에서 줄임표를 선택하여 고급 헌팅에서 생성된 쿼리를 자동으로 추가하고 실행할지 여부를 선택합니다.

설정 타원 아이콘을 보여 주는 고급 헌팅의 Security Copilot 스크린샷

생성된 쿼리를 자동으로 실행 설정을 선택 취소하면 생성된 쿼리를 자동으로 실행하거나(추가 및 실행) 추가 수정을 위해 생성된 쿼리를 쿼리 편집기에 추가하는(편집기에 추가) 옵션이 제공됩니다.