고급 헌팅에서의 Microsoft Security Copilot
적용 대상:
- Microsoft Defender
- Microsoft Defender XDR
고급 헌팅에서의 Security Copilot
Microsoft Defender Microsoft Security Copilot 고급 헌팅의 쿼리 도우미 기능이 함께 제공됩니다.
KQL에 익숙하지 않거나 아직 학습하지 않은 위협 사냥꾼 또는 보안 분석가는 자연어로 요청을 하거나 질문을 할 수 있습니다(instance 경우 사용자 관리자와 관련된 모든 경고 가져오기123). 그러면 Security Copilot은 고급 헌팅 데이터 스키마를 사용하여 요청에 해당하는 KQL 쿼리를 생성합니다.
이 기능은 헌팅 쿼리를 처음부터 작성하는 데 걸리는 시간을 줄여 주므로 위협 헌터와 보안 분석가가 위협 헌팅 및 조사에 집중할 수 있습니다.
Security Copilot에 액세스할 수 있는 사용자는 고급 헌팅에서 이 기능에 액세스할 수 있습니다.
참고
고급 헌팅 기능은 Microsoft Defender XDR 플러그 인을 통해 Security Copilot 독립 실행형 환경에서도 사용할 수 있습니다. Security Copilot 사전 설치된 플러그 인에 대해 자세히 알아보세요.
첫 번째 요청 사용해 보기
Microsoft Defender XDR의 탐색 모음에서 고급 헌팅 페이지를 엽니다. 고급 헌팅을 위한 Security Copilot 측면 창이 오른쪽에 나타납니다.
쿼리 편집기의 맨 위에서 Copilot을 선택하여 Copilot을 다시 열 수도 있습니다.
Copilot 프롬프트 표시줄에서 실행하려는 위협 헌팅 쿼리를 요청하거나 를 누르
거나 를 입력합니다 .
Copilot은 입력한 텍스트 명령 또는 질문에서 KQL 쿼리를 생성합니다. Copilot이 생성하는 동안 생성 중지를 선택하여 쿼리 생성을 취소할 수 있습니다.
생성된 쿼리를 검토합니다. 그런 다음 추가 및 실행을 선택하여 쿼리를 실행하도록 선택할 수 있습니다.
생성된 쿼리는 쿼리 편집기에서 마지막 쿼리로 표시되고 자동으로 실행됩니다.
추가 조정이 필요한 경우 편집기에 추가를 선택합니다.
생성된 쿼리는 쿼리 편집기에 마지막 쿼리로 표시됩니다. 여기서 쿼리 편집기 위에 있는 일반 쿼리 실행을 사용하여 실행하기 전에 쿼리를 편집할 수 있습니다.
피드백 아이콘
아이콘을 선택하고 확인, 대상 해제 또는 잠재적으로 유해할 수 있음을 선택하여 생성된 응답에 대한 피드백을 제공할 수 있습니다.
팁
피드백을 제공하는 것은 Security Copilot 팀이 쿼리 도우미 유용한 KQL 쿼리를 생성하는 데 얼마나 잘 도움이 되었는지 알 수 있는 중요한 방법입니다. 쿼리에 개선이 필요한 부분, 생성된 KQL 쿼리를 실행하기 전에 조정해야 했던 사항을 설명하거나 최종적으로 사용한 KQL 쿼리를 공유해 주세요.
참고
통합 Microsoft Defender 포털에서 Security Copilot Defender XDR 테이블과 Microsoft Sentinel 테이블에 대한 고급 헌팅 쿼리를 생성하라는 메시지를 표시할 수 있습니다. 현재 모든 Microsoft Sentinel 테이블이 지원되는 것은 아니지만 향후 이러한 테이블에 대한 지원이 예상될 수 있습니다.
쿼리 세션
고급 헌팅의 Copilot 측면 창에서 질문을 하여 언제든지 첫 번째 세션을 시작할 수 있습니다. 세션에는 사용자 계정을 사용하여 제출한 요청이 포함됩니다. 측면 창을 닫거나 고급 헌팅 페이지를 새로 고쳐도 세션이 삭제되지 않습니다. 필요한 경우 생성된 쿼리에 계속 액세스할 수 있습니다.
채팅 말풍선 아이콘(새 채팅)을 선택하여 현재 세션을 삭제합니다.
설정 수정
Copilot 측면 창에서 줄임표를 선택하여 고급 헌팅에서 생성된 쿼리를 자동으로 추가하고 실행할지 여부를 선택합니다.
생성된 쿼리를 자동으로 실행 설정을 선택 취소하면 생성된 쿼리를 자동으로 실행하거나(추가 및 실행) 추가 수정을 위해 생성된 쿼리를 쿼리 편집기에 추가하는(편집기에 추가) 옵션이 제공됩니다.