다음을 통해 공유

Microsoft Defender Microsoft Copilot 사용하여 ID 정보 요약

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

사용자를 조사하는 보안 운영 팀은 Microsoft Defender Microsoft Security Copilot ID 요약 기능을 사용하여 ID 정보를 쉽게 이해할 수 있습니다. Copilot는 생성 AI와 Microsoft Defender for Identity 기능을 활용하여 organization ID에 대한 컨텍스트 인사이트를 만들어 분석가가 중요한 데이터를 신속하게 이해하여 조사 속도를 높일 수 있도록 지원합니다.

ID 요약 기능을 사용하면 분석가는 의심스럽거나 위험한 ID 관련 변경 내용과 organization 부정적인 영향을 미칠 수 있는 작업을 즉시 식별할 수 있습니다. 요약에는 ID에 영향을 주는 잠재적인 잘못된 구성도 포함됩니다. Copilot는 자연어를 사용하여 분석가가 인시던트 조사 활동에 사용할 수 있는 명확하고 실행 가능한 사용자 정보를 제공합니다. 이 기능은 현재 사용자에 중점을 두고 있으며 다음 반복에 서비스 계정을 포함합니다.

이 가이드에서는 생성된 결과에 대한 피드백을 제공하는 방법을 포함하여 ID 요약 기능의 내용과 작동 방식에 대해 설명합니다.

시작하기 전에 다음 사항에 유의합니다.

Security Copilot 새로운 경우 다음 문서를 읽어 익숙해져야 합니다.

ID 요약 기능을 사용하면 분석가는 의심스럽거나 위험한 ID 관련 변경 내용과 organization 부정적인 영향을 미칠 수 있는 작업을 즉시 식별할 수 있습니다. 요약에는 ID에 영향을 주는 잠재적인 잘못된 구성도 포함됩니다. Copilot는 자연어를 사용하여 분석가가 인시던트 조사 활동에 사용할 수 있는 명확하고 실행 가능한 사용자 정보를 제공합니다. 이 기능은 현재 사용자에 중점을 두고 있으며 다음 반복에 서비스 계정을 포함합니다.

Microsoft Defender 통합 Security Copilot

ID 요약 기능은 Security Copilot 대한 액세스를 프로비전한 고객을 위해 Microsoft Defender 포털에서 사용할 수 있습니다.

Security Copilot 독립 실행형 포털에 액세스하는 사용자는 Microsoft Defender XDR 플러그 인을 통해 이 기능을 사용할 수 있습니다. Security Copilot 사전 설치된 플러그 인에 대해 자세히 알아보세요.

주요 기능

ID 요약에는 다음을 비롯한 ID에 대한 필수 정보가 포함되어 있습니다.

  • 사용자 계정을 만든 날짜 및 사용자 계정이 높음, 중간 또는 낮은 중요도인지 여부
  • 로그인 위치, 로그인 빈도 또는 실패한 로그인 시도 빈도와 관련된 비정상적인 동작 패턴
  • 부서 및 직책을 포함한 사용자의 현재 역할 및 불일치를 강조하기 위해 사용자의 직함 및 부서와 비교하여 주목할 만한 역할 변경이 있는지 여부
  • 지난 30일 동안 디바이스가 사용자와 연결되었는지 여부에 관계없이 디바이스에 대한 사용자의 마지막 로그인에 대한 데이터
  • 사용되는 인증 방법 및 애플리케이션
  • Microsoft Entra ID 기반 사용자와 관련된 위험
  • 사용자의 전문 직임 및 연락처 정보, 부서 및 관리자의 연락처 정보와 같은 일반 정보

다음과 같은 방법으로 ID 요약 기능에 액세스할 수 있습니다.

  • 인시던트 페이지에서 인시던트 그래프에서 ID를 선택한 다음(1) 사용자 세부 정보를 선택합니다. 사용자 세부 정보 창에서 (2) 요약을 선택합니다. 결과는 Copilot 측면 패널에 표시됩니다.

    사용자 세부 정보 창의 요약 옵션을 보여 주는 스크린샷

  • 또는 사용자 세부 정보 창 아래쪽에서 사용자 페이지로 이동을 선택하여 사용자 페이지를 열 수 있습니다. Copilot는 ID 요약을 자동으로 생성하고 사용자 페이지를 열 때 측면 패널을 표시합니다.

  • 인시던트 자산 탭에서 사용자를 선택하여 ID 요약 기능에 액세스할 수도 있습니다 . 사용자 세부 정보 창에서 요약 을 선택하여 ID 요약을 생성합니다.

    자산 탭과 강조 표시된 사용자 계정을 보여 주는 스크린샷

  • 경고 페이지에서 사용자를 선택한 다음, 사용자 세부 정보 창에서 요약 을 선택하여 ID 요약을 생성합니다.

  • 고급 헌팅 페이지에서 결과 테이블에서 사용자를 선택한 다음, 사용자 페이지에 대한 링크를 선택하여 ID 요약 기능에 액세스할 수 있습니다. Copilot는 ID 요약을 자동으로 생성하고 사용자 페이지를 열 때 측면 패널을 표시합니다.

  • 기본 메뉴에서 자산 > ID로 이동합니다. 목록에서 사용자 이름을 선택한 다음 사용자 페이지 보기를 선택하여 사용자 페이지를 엽니다. Copilot는 ID 요약을 자동으로 생성하고 사용자 페이지를 열 때 측면 패널을 표시합니다.

    ID 내의 사용자 이름 검색에서 사용자 페이지 보기 옵션을 강조 표시하는 스크린샷

  • Microsoft Defender 포털의 검색 상자에 사용자 이름을 입력한 다음 검색 결과에서 사용자 이름을 선택합니다. 사용자 세부 정보 쪽 패널에서 요약 을 선택하여 ID 요약을 생성합니다.

ID 요약 결과를 검토합니다. ID 요약 카드 위에 있는 추가 작업 줄임표(...)를 선택하여 결과를 클립보드에 복사하거나, 결과를 다시 생성하거나, Security Copilot 열 수 있습니다. Security Copilot 포털에서 프롬프트 및 기타 플러그 인을 사용하여 ID 조사를 확장할 수 있습니다.

샘플 ID 요약 프롬프트

Security Copilot 독립 실행형 포털에서 다음 프롬프트를 사용하여 ID 요약을 생성할 수 있습니다.

  • 마지막 {time frame}에 이 사용자의 Defender 요약을 표시합니다.

Security Copilot 포털에서 사용자를 조사할 때 Microsoft는 ID 요약 기능이 결과를 제공하는지 확인하기 위해 프롬프트에 Defender라는 단어를 포함하는 것이 좋습니다. 조사 기간에 최대 120일을 지정할 수 있으며, 기본값은 30일입니다.

피드백 제공

Microsoft는 기능의 지속적인 개선에 매우 중요하므로 Copilot에 피드백을 제공하는 것이 좋습니다. 피드백을 제공하려면 Copilot 측면 패널의 아래쪽으로 이동하여 피드백 아이콘 Defender 카드의 Copilot에 대한 피드백 아이콘 스크린샷을 선택합니다.

피드백을 공유할 수 있는 피드백 텍스트 상자를 보여 주는 스크린샷

전용 텍스트 상자를 입력하여 생각, 경험 및 요청을 공유합니다. Microsoft는 사용자의 피드백을 소중히 생각하며 Copilot의 성능 및 사용자 환경을 향상시키기 위해 최선을 다합니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.