다음을 통해 공유

Microsoft Defender에서 Microsoft Copilot의 단계별 대응을 사용하여 인시던트 심사 및 조사

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Defender 포털의 Microsoft Security Copilot 단계별 응답으로 인시던트 즉시 해결에서 인시던트 대응 팀을 지원합니다. Defender의 Copilot은 AI 및 기계 학습 기능을 사용하여 인시던트를 컨텍스트화하고 이전 조사로부터 학습하여 적절한 대응 작업을 생성합니다.

이 가이드에서는 단계별 대응 기능에 액세스하는 방법과 응답과 관련된 피드백을 제공하는 방법에 대한 정보를 간략하게 설명합니다.

시작하기 전에 다음 사항에 유의합니다.

Security Copilot 새로운 경우 다음 문서를 읽어 익숙해져야 합니다.

Microsoft Defender 포털에서 인시던트에 대응하려면 공격을 중단시키기 위해 포털에서 사용할 수 있는 작업에 익숙해야 합니다. 또한 새 인시던트 대응 담당자의 경우 인시던트 대응의 시작점과 그 방법이 다를 수 있습니다. Defender의 Copilot의 단계별 대응 기능을 사용하면 모든 수준의 인시던트 대응 팀이 확신을 가지고 신속하게 대응 작업을 적용하여 인시던트를 쉽게 해결할 수 있습니다.

Microsoft Defender 통합 Security Copilot

단계별 응답은 Security Copilot 대한 액세스를 프로비전한 고객을 위해 Microsoft Defender 포털에서 사용할 수 있습니다.

단계별 응답은 Microsoft Defender XDR 플러그 인을 통해 Security Copilot 독립 실행형 환경에서도 사용할 수 있습니다. Security Copilot 사전 설치된 플러그 인에 대해 자세히 알아보세요.

주요 기능

단계별 대응은 다음 범주의 작업을 권장합니다.

  • 심사 - 인시던트를 정보성, 진양성 또는 가양성으로 분류하는 권장 사항을 포함합니다.
  • 저지 - 인시던트를 저지하는 권장 조치를 포함합니다.
  • 조사 - 추가 조사를 위한 권장 조치를 포함합니다.
  • 수정 - 인시던트에 관련된 특정 엔터티에 적용할 권장 대응 작업을 포함합니다.

각 카드에는 작업이 적용되어야 하는 엔터티 및 작업이 권장되는 이유를 포함하여 권장 작업에 대한 정보가 포함됩니다. 또한 이 카드는 공격 중단 또는 자동 조사 대응과 같은 자동 조사를 통해 권장 조치를 수행한 경우를 강조합니다.

단계별 대응 카드는 각 카드의 사용 가능한 상태에 따라 정렬할 수 있습니다. 단계별 대응을 볼 때 상태를 클릭하고 보려는 적절한 상태를 선택하여 특정 상태를 선택할 수 있습니다. 상태에 관계없이 모든 단계별 대응 카드는 기본적으로 표시됩니다.

Microsoft Defender 인시던트 페이지의 Copilot 창에 있는 응답 상태 보여 주는 스크린샷

단계별 대응을 사용하려면 다음 단계를 수행합니다.

  1. 인시던트 페이지를 엽니다. Copilot은 인시던트 페이지를 열 때 단계별 대응을 자동으로 생성합니다. 인시던트 페이지의 오른쪽에 Copilot 창이 나타나며 단계별 대응 카드가 표시됩니다.

    Microsoft Defender 인시던트 페이지에서 단계별 응답이 있는 Copilot 창을 보여 주는 스크린샷

  2. 권장 사항을 적용하기 전에 각 카드를 검토합니다. 대응 카드 위에 있는 기타 작업 줄임표(...)를 선택하여 각 권장 사항에 사용할 수 있는 옵션을 확인합니다. 다음은 몇 가지 예입니다.

    Copilot 측면 패널의 단계별 응답 카드 사용자가 사용할 수 있는 옵션을 보여 주는 스크린샷

    Microsoft Defender XDR Copilot 창의 자동화 응답 카드 사용자가 사용할 수 있는 옵션을 보여 주는 스크린샷

  3. 작업을 적용하려면 각 카드에 있는 원하는 작업을 선택합니다. 각 카드의 단계별 대응 작업은 인시던트 유형 및 관련된 특정 엔터티에 맞게 조정됩니다.

    Microsoft Defender Copilot 창의 안내 응답 카드를 보여 주는 스크린샷

  4. 각 대응 카드에 피드백을 제공하여 Copilot의 향후 응답을 지속적으로 향상시킬 수 있습니다. 피드백을 제공하려면 각 카드 오른쪽 아래에 있는 Defender 카드의 Copilot에 대한 피드백 아이콘을 보여 주는 피드백 아이콘 스크린샷을 선택합니다.

참고

회색으로 표시된 작업 단추는 이러한 작업이 사용자의 권한에 의해 제한됨을 의미합니다. 자세한 내용은 통합 RBAC(역할 기반 액세스) 권한 페이지를 참조하세요.

Copilot는 분석가의 조사 작업을 가속화하는 데 도움이 됩니다. 인시던트에 사용자 활동에 대한 추가 조사가 필요한 경우 Copilot는 분석가가 사용자와 통신하는 데 사용할 수 있는 텍스트를 제안합니다. 단계별 응답 카드 Teams의 연락처 사용자 또는 제안된 텍스트를 클립보드에 복사하는 클립보드로 복사 작업을 포함합니다. 그런 다음 분석가는 텍스트를 전자 메일 또는 다른 통신 도구에 붙여넣을 수 있습니다. 또한 분석가는 사용자 보기 작업을 통해 사용자에 대한 더 많은 컨텍스트를 얻을 수 있습니다.

단계별 응답 카드 통신을 위해 제안된 텍스트를 보여 주는 스크린샷.

Copilot는 또한 분석가가 추가 인사이트를 사용하여 응답 작업에 대한 더 많은 컨텍스트를 얻을 수 있도록 하여 인시던트 대응 팀을 지원합니다. 수정 대응의 경우 인시던트 대응 팀은 유사한 인시던트 보기 또는 유사한 전자 메일 보기와 같은 옵션을 사용하여 추가 정보를 볼 수 있습니다.

조직 내에 현재 인시던트와 유사한 다른 인시던트 발생 시 유사한 인시던트 보기 작업을 사용할 수 있습니다. 유사한 인시던트 탭에는 검토할 수 있는 유사한 인시던트가 나열됩니다. Microsoft Defender는 기계 학습을 통해 조직 내에서 유사한 인시던트를 자동으로 식별합니다. 인시던트 대응 팀은 이 유사한 인시던트의 정보를 사용하여 인시던트를 분류하고 유사한 인시던트에서 수행된 작업을 추가로 검토할 수 있습니다.

피싱 인시던트와 관련된 유사한 전자 메일 보기 작업을 선택하면 고급 헌팅 페이지로 이동하게 됩니다. 여기서 조직 내 유사한 전자 메일을 나열하는 KQL 쿼리가 자동으로 생성됩니다. 인시던트와 관련된 이 자동 쿼리 생성은 인시던트 대응 팀이 인시던트와 관련이 있을 수 있는 다른 전자 메일을 추가로 조사하는 데 도움이 됩니다. 쿼리를 검토하고 필요에 따라 수정할 수 있습니다.

샘플 단계별 응답 프롬프트

Security Copilot 독립 실행형 포털에서 다음 프롬프트를 사용하여 단계별 응답을 생성할 수 있습니다.

  • Defender 인시던트 {인시던트 ID}에 대한 단계별 응답 및 권장 사항을 생성합니다.

Security Copilot 포털에서 단계별 응답을 생성할 때 안내 응답 기능이 결과를 제공하도록 프롬프트에 Defender라는 단어를 포함하는 것이 좋습니다.

피드백 제공

Microsoft는 기능의 지속적인 개선에 매우 중요하므로 Copilot에 피드백을 제공하는 것이 좋습니다. 피드백을 제공하려면 Copilot 측면 패널의 아래쪽으로 이동하여 피드백 아이콘 Defender 카드의 Copilot에 대한 피드백 아이콘 스크린샷을 선택합니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.