다음을 통해 공유

Microsoft Defender 위협 인텔리전스 Microsoft Security Copilot

  • 아티클

Microsoft Security Copilot 자연어 부조종사 환경을 제공하는 클라우드 기반 AI 플랫폼입니다. 인시던트 대응, 위협 헌팅 및 인텔리전스 수집과 같은 다양한 시나리오에서 보안 전문가를 지원하는 데 도움이 됩니다. 수행할 수 있는 작업에 대한 자세한 내용은 Microsoft Security Copilot?을 참조하세요.

Security Copilot 고객은 인증된 각 Copilot 사용자가 Microsoft Defender 위협 인텔리전스(Defender TI)에 액세스할 수 있습니다. Copilot에 액세스할 수 있는지 확인하려면 Security Copilot 구매 및 라이선스 정보를 참조하세요.

Security Copilot 액세스할 수 있게 되면 이 문서에서 설명하는 주요 기능은 Security Copilot 포털 또는 Microsoft Defender 포털에서 액세스할 수 있습니다.

시작하기 전에 다음 사항에 유의합니다.

Security Copilot 새로운 경우 다음 문서를 읽어 익숙해져야 합니다.

Defender TI의 Security Copilot 통합

Security Copilot 위협 행위자, IOC(손상 지표), 도구 및 취약성뿐만 아니라 Defender TI의 컨텍스트 위협 인텔리전스에 대한 정보를 제공합니다. 프롬프트 및 프롬프트북을 사용하여 인시던트를 조사하거나, 위협 인텔리전스 정보로 헌팅 흐름을 강화하거나, 조직 또는 글로벌 위협 환경에 대한 자세한 정보를 얻을 수 있습니다.

  • 프롬프트에 명확하고 구체적으로 입력합니다. 프롬프트에 특정 위협 행위자 이름 또는 IOC를 포함하면 더 나은 결과를 얻을 수 있습니다. 다음과 같이 프롬프트에 위협 인텔리전스를 추가하는 경우에도 도움이 될 수 있습니다.

    • Aqua Blizzard에 대한 위협 인텔리전스 데이터를 보여줘.
    • "malicious.com"에 대한 위협 인텔리전스 데이터를 요약해 줘.

  • 인시던트를 참조할 때는 구체적으로 설명합니다(예: "인시던트 ID 15324").

  • 사용 사례에 가장 적합한 것을 알 수 있도록 다양한 프롬프트와 변형을 실험합니다. 채팅 AI 모델은 다양하므로 받는 결과를 바탕으로 프롬프트를 반복하고 상세 검색합니다.

  • Copilot는 프롬프트 세션을 저장합니다. 이전 세션을 보려면 Security Copilot 홈 메뉴에서내 세션으로 이동합니다.

    내 세션이 강조 표시된 Microsoft Security Copilot 홈 메뉴를 보여 주는 스크린샷

    참고

    핀 및 공유 기능을 포함하여 Copilot에 대한 연습은 Microsoft Security Copilot 탐색을 참조하세요.

효과적인 프롬프트 만들기에 대해 자세히 알아보기

주요 기능

Security Copilot 통해 보안 팀은 위협 인텔리전스 정보를 즉시 이해하고, 우선 순위를 지정하고, 조치를 취할 수 있습니다.

위협 행위자, 공격 캠페인 또는 자세히 알고 싶은 기타 위협 인텔리전스에 대해 질문할 수 있으며 Copilot은 위협 분석 보고서, 인텔 프로필 및 문서 및 기타 Defender TI 콘텐츠를 기반으로 응답을 생성합니다.

Defender 포털에서 사용할 수 있는 기본 제공 프롬프트를 선택하여 다음 작업을 수행할 수도 있습니다.

  • 조직과 관련된 최신 위협 요약
  • 이러한 위협에 대한 환경의 가장 높은 노출 수준에 따라 초점을 맞출 위협에 우선순위 지정
  • 통신 인프라 산업을 대상으로 하는 위협 행위자 질문

위협 인텔리전스를 위해 Defender의 Copilot 사용에 대해 자세히 알아보기

Defender TI에서 Security Copilot 통합 켜기

  1. Microsoft Security Copilot으로 이동하여 자격 증명으로 로그인합니다.

  2. Microsoft Threat Intelligence 플러그 인이 켜져 있는지 확인합니다. 프롬프트 바에서 원본 아이콘을 선택합니다. 원본 아이콘의 스크린샷.

    원본 아이콘이 강조 표시된 Microsoft Security Copilot 프롬프트 표시줄의 스크린샷

    표시되는 원본 관리 팝업 창의 플러그 인 아래에서 Microsoft 위협 인텔리전스 토글이 켜져 있는지 확인한 다음 창을 닫습니다.

    Microsoft Threat Intelligence 플러그 인이 강조 표시된 플러그 인 관리 팝업 창의 스크린샷

    참고

    일부 역할은 Microsoft Threat Intelligence와 같은 플러그 인에 대해 토글을 켜거나 끌 수 있습니다. 자세한 내용은 Microsoft Security Copilot 플러그 인 관리를 참조하세요.

  3. 프롬프트 바에 프롬프트를 입력합니다.

기본 제공 시스템 기능

Security Copilot 켜져 있는 다른 플러그 인에서 데이터를 가져올 수 있는 기본 제공 시스템 기능이 있습니다.

Defender TI에 대한 기본 제공 시스템 기능 목록을 보려면:

  1. 프롬프트 바에서 프롬프트 아이콘을 선택합니다. 프롬프트 아이콘의 스크린샷.

    프롬프트 아이콘이 강조 표시된 Microsoft Security Copilot 프롬프트 표시줄의 스크린샷

  2. 모든 시스템 기능 보기를 선택합니다. Microsoft 위협 인텔리전스 섹션에는 사용할 수 있는 Defender TI에 사용할 수 있는 모든 기능이 나열됩니다.

Copilot에는 Defender TI의 정보도 제공하는 다음과 같은 프롬프트북이 있습니다.

  • 외부 위협 문서의 영향 확인 – 외부 또는 타사(즉, Defender TI에 게시되지 않음) 문서를 분석하여 관련 IOC를 추출하고, 인텔리전스를 요약하고, 헌팅 쿼리를 생성하여 문서에 보고된 위협의 잠재적 영향을 organization 평가할 수 있습니다.
  • 위협 행위자 프로필 – 일반적인 도구 및 전술에 대한 방어 제안을 포함하여 알려진 위협 행위자를 프로파일링하는 보고서를 생성합니다.
  • MDTI를 기반으로 하는 위협 인텔리전스 360 보고서Defender TI 문서를 분석하여 관련 IOC를 추출하고, 인텔리전스를 요약하고, 헌팅 쿼리를 생성하여 문서에 보고된 위협의 잠재적 영향을 organization 평가할 수 있습니다.
  • 취약성 영향 평가 – 문제를 해결하는 방법에 대한 단계를 포함하여 알려진 취약성에 대한 인텔리전스를 요약하는 보고서를 생성합니다.

이러한 프롬프트북을 보려면 프롬프트 바에서 프롬프트 아이콘을 선택한 다음 모든 프롬프트북 보기를 선택합니다.

샘플 Defender TI 프롬프트

많은 프롬프트를 사용하여 Defender TI에서 정보를 가져올 수 있습니다. 이 섹션에서는 몇 가지 아이디어와 예를 소개합니다.

위협 문서 및 위협 행위자에서 위협 인텔리전스를 가져와 줘.

샘플 프롬프트 :

  • 최근 위협 인텔리전스를 요약해 줘.
  • 최신 위협 문서를 보여줘.
  • 지난 6개월 동안 랜섬웨어와 관련된 위협 문서를 가져와 줘.

위협 행위자 매핑 및 인프라

위협 행위자 및 TTP(전술, 기술 및 절차), 지원 정부, 산업 및 이와 관련된 IOC 정보를 가져와 줘.

샘플 프롬프트:

  • Silk Typhoon에 대해 자세히 알려줘.
  • Silk Typhoon과 관련된 IOC를 공유해 줘.
  • Silk Typhoon과 관련된 TTP를 공유해 줘.
  • 러시아와 관련된 위협 행위자를 공유해 줘.

CVE의 취약점 데이터

Defender TI 문서, 위협 분석 보고서Microsoft Defender 취약성 관리Microsoft Defender 외부 공격 표면 관리 데이터에서 파생된 CVE(Common Vulnerabilities and Exposures)에 대한 컨텍스트 정보 및 위협 인텔리전스를 가져옵니다.

샘플 프롬프트:

  • 취약점 CVE-2021-44228에 취약한 기술을 공유해 줘.
  • 취약점 CVE-2021-44228을 요약해 줘.
  • 최신 CVE를 보여줘.
  • CVE-2021-44228과 관련된 위협 행위자를 보여줘.
  • CVE-2021-44228과 관련된 위협 문서를 보여줘.

위협 인텔리전스와 관련된 지표 데이터

평판 점수, WHOIS 정보, DNS(도메인 이름 시스템), 호스트 쌍 및 인증서를 포함하여 Defender TI에서 사용할 수 있는 수많은 데이터 집합 을 기반으로 지표(예: IP 주소, 도메인 및 파일 해시)에 대한 자세한 정보를 가져옵니다.

샘플 프롬프트:

  • 도메인 도메인< 이름>에 대해 무엇을 알 수 있나요?
  • 도메인 이름과> 관련된 표시기를< 표시합니다.
  • 도메인 이름에 대한 모든 해상도를 <표시합니다.>
  • 도메인 이름과 관련된 호스트 쌍을 표시합니다<.>
  • 호스트 <호스트 이름>의 평판을 보여줘.
  • IP 주소 IP 주소에 대한 모든 해상도를 표시합니다>.<
  • IP 주소로 열린 서비스를 표시합니다<.>

피드백 제공

Security Copilot Defender TI 통합에 대한 피드백은 개발에 도움이 됩니다. 피드백을 제공하려면 Copilot에서 이 응답은 어떻게 합니까? 를 선택합니다. 완료된 각 프롬프트의 맨 아래에서 다음 옵션 중 하나를 선택합니다.

  • 맞아 보임 - 평가에 따라 결과가 정확한 경우 이 단추를 선택합니다.
  • 개선 필요 - 평가에 따라 결과의 세부 정보가 잘못되거나 불완전한 경우 이 단추를 선택합니다.
  • 부적절함 - 결과에 의심스럽거나 모호하거나 잠재적으로 유해한 정보가 포함된 경우 이 단추를 선택합니다.

각 피드백 단추에 대해 표시되는 다음 대화 상자에서 자세한 정보를 제공할 수 있습니다. 가능하면, 결과가 개선 필요일 때 이를 개선하기 위해 할 수 있는 작업을 간단히 작성합니다. Defender TI와 관련된 프롬프트를 입력했는데 결과가 관련되지 않은 경우 해당 정보를 포함합니다.

Security Copilot의 개인 정보 보호 및 데이터 보안

Security Copilot 상호 작용하여 Defender TI 데이터를 가져오면 Copilot는 Defender TI에서 해당 데이터를 가져옵니다. 프롬프트, 검색된 데이터 및 프롬프트 결과에 표시된 출력은 Copilot 서비스 내에서 처리되고 저장됩니다. Microsoft Security Copilot 개인 정보 보호 및 데이터 보안에 대해 자세히 알아보기

참고 항목