Microsoft Defender XDR과 Copilot의 통합 설명
Microsoft Defender XDR은 Microsoft Security Copilot과 통합됩니다. Security Copilot과의 통합은 독립 실행형 및 포함된 환경을 통해 경험할 수 있습니다.
독립 실행형 환경
Microsoft Security Copilot에 온보딩된 기업의 경우 Copilot 포털을 통해 액세스할 수 있는 플러그 인으로 통합이 가능합니다(독립 실행형 환경). Microsoft Defender XDR과의 통합을 지원하는 두 개의 별도 플러그 인이 있습니다.
- Microsoft Defender XDR
- Microsoft Defender XDR용 KQL에 대한 자연어
Microsoft Defender XDR 플러그 인
Microsoft Defender XDR 플러그 인에는 사용자가 다음을 수행할 수 있는 기능이 포함되어 있습니다.
- 파일 분석
- 인시던트 보고서 생성
- 단계별 대응 생성
- 인시던트 및 관련 경고 목록
- 디바이스의 보안 상태 요약
- 자세히...
Copilot의 Microsoft Defender XDR 기능은 기본으로 제공되는 프롬프트이지만, 지원되는 기능에 따라 사용자만의 프롬프트를 입력할 수도 있습니다.
또한 Copilot에는 관련 경고, 평판 점수, 사용자 및 디바이스가 포함된 특정 인시던트에 대한 보고를 받는 데 사용할 수 있는 Microsoft Defender XDR 인시던트 조사를 위한 프롬프트북이 기본 제공됩니다.
Microsoft Defender 플러그 인용 KQL에 대한 자연어
Microsoft Defender용 KQL에 대한 자연어 플러그 인을 사용하면 위협 헌팅 컨텍스트에서 자연어 질문을 즉시 실행 가능한 KQL(Kusto 쿼리 언어) 쿼리로 변환하는 쿼리 도우미 기능을 사용할 수 있습니다. 쿼리 도우미는 KQL 쿼리를 생성하여 보안 팀의 시간을 절약합니다. 이 쿼리는 분석가의 요구에 따라 자동으로 실행되거나 추가로 조정될 수 있습니다.
포함된 환경
플러그 인을 사용하도록 설정하면 Copilot과 Defender XDR의 통합을 Microsoft Defender XDR에서 Copilot이라고 하는 포함된 환경을 통해서도 경험할 수 있습니다.
Microsoft Defender XDR의 Copilot에서 보안 팀은 Microsoft Defender XDR 포털을 통해 시던트를 빠르고 효율적으로 조사하고 대응할 수 있습니다. Microsoft Defender XDR의 Copilot은 다음 기능을 지원합니다.
- 인시던트 요약
- 단계별 대응
- 스크립트 분석
- 자연어 KQL 쿼리
- 인시던트 보고서
- 파일 분석
- 디바이스 및 ID 요약
사용자는 포함된 환경에서 독립형 환경으로 원활하게 피벗할 수도 있습니다.
인시던트 요약
인시던트를 즉시 이해하기 위해 Microsoft Defender XDR의 Copilot을 사용하여 인시던트를 요약할 수 있습니다. Copilot은 공격에서 발생한 일, 관련된 자산, 공격 타임라인 등을 이해하기 위한 필수 정보를 포함한 공격 개요를 작성합니다. 사용자가 인시던트 페이지로 이동할 때 Copilot이 자동으로 요약을 만듭니다. 최대 100개의 경고를 포함하는 인시던트를 하나의 인시던트 요약으로 요약할 수 있습니다.
단계별 대응
Microsoft Defender XDR의 Copilot은 AI 및 기계 학습 기능을 사용하여 인시던트를 컨텍스트화하고, 이전 조사로부터 학습하고, 단계별 대응으로 표시되는 적절한 대응 작업을 생성합니다. Copilot의 단계별 대응 기능을 통해 모든 수준의 인시던트 대응 팀은 대응 작업을 신속하고 자신 있게 수행하여 인시던트를 쉽게 해결할 수 있습니다.
단계별 대응은 다음 범주의 작업을 권장합니다.
- 심사 - 인시던트를 정보성, 진양성 또는 가양성으로 분류하는 권장 사항을 포함합니다.
- 저지 - 인시던트를 저지하는 권장 조치를 포함합니다.
- 조사 - 추가 조사를 위한 권장 조치를 포함합니다.
- 수정 - 인시던트에 관련된 특정 엔터티에 적용할 권장 대응 작업을 포함합니다.
각 카드에는 권장 이유 및 유사한 인시던트 등을 비롯한 권장 작업에 관한 정보가 포함되어 있습니다. 예를 들어 유사한 인시던트 보기 작업은 조직에 현재 인시던트와 유사한 다른 인시던트가 있을 때 사용할 수 있습니다. 인시던트 대응 팀은 암호 재설정과 같은 수정 작업에 대한 사용자 정보를 볼 수도 있습니다.
모든 인시던트/경고가 단계별 대응을 제공하는 것은 아닙니다. 단계별 대응은 피싱, 비즈니스 전자 메일 손상, 랜섬웨어와 같은 인시던트 유형에서 사용할 수 있습니다.
스크립트 및 코드 분석
Microsoft Defender XDR의 Copilot 스크립트 분석 기능은 보안 팀에 외부 도구를 사용하지 않고 스크립트와 코드를 검사할 수 있는 추가 용량을 제공합니다. 또한 이 기능은 분석의 복잡성을 줄이고, 문제를 최소화하며, 보안 팀이 스크립트를 악성인지 무해한 것인지 신속하게 평가하고 식별할 수 있도록 합니다.
스크립트 분석 기능에 액세스할 수 있는 방법에는 여러 가지가 있습니다. 다음 이미지는 PowerShell 스크립트 실행을 포함하는 경고에 대한 프로세스 트리를 보여 줍니다. 분석 단추를 선택하면 Copilot 스크립트 분석이 생성됩니다.
KQL 쿼리 생성
Microsoft Defender XDR의 Copilot에는 고급 헌팅의 쿼리 도우미 기능이 함께 제공됩니다.
자연어로 KQL 쿼리 도우미에 액세스하려면 Copilot에 액세스할 수 있는 사용자가 Defender XDR 포털의 왼쪽 탐색 창에서 고급 헌팅을 선택합니다.
Copilot은 Copilot과의 위협 헌팅을 시작하는 데 사용할 수 있는 프롬프트를 제공하거나 프롬프트 표시줄에 고유한 자연어 질문을 작성하여 KQL 쿼리를 생성할 수 있습니다. 예를 들어"지난 10분 이내에 로그인한 모든 디바이스를 알려주세요."라고 질문할 수 있습니다. 그러면 Copilot이 고급 헌팅 데이터 스키마를 사용하여 요청에 상응하는 KQL 쿼리를 생성합니다.
그런 다음, 추가 및 실행을 선택하여 쿼리를 실행하도록 선택할 수 있습니다. 그러면 생성된 쿼리는 쿼리 편집기에서 마지막 쿼리로 표시됩니다. 추가로 조정하려면 편집기에 추가를 선택합니다.
인시던트 보고서 만들기
포괄적이고 명확한 인시던트 보고서는 보안팀과 보안 운영 관리에 필수적인 참고 자료입니다. 하지만 중요한 세부 정보를 포함하는 포괄적인 보고서를 작성하는 작업은 여러 원본에서 인시던트 정보를 수집, 구성, 요약해야 하므로 보안 운영 팀에 시간이 오래 걸릴 수 있습니다. 이제 보안 팀은 포털 내에서 포괄적인 인시던트 보고서를 즉시 만들 수 있습니다.
인시던트 요약은 인시던트에 대한 개요와 발생 양상을 제공하지만, 인시던트 보고서는 Microsoft Sentinel과 Microsoft Defender XDR에서 제공하는 다양한 데이터 원본의 인시던트 정보를 통합합니다. 또한 인시던트 보고서에는 모든 분석가 기반 단계 및 자동화된 작업, 대응에 관련된 분석가, 분석가의 의견 등이 포함됩니다.
인시던트 보고서를 만들려면 사용자는 인시던트 페이지의 오른쪽 위 모서리 또는 Copilot 창의 아이콘에서 인시던트 보고서 생성을 선택합니다. 인시던트 보고서가 생성되면 인시던트 보고서에서 줄임표를 선택하면 보고서를 클립보드에 복사하거나, 활동 로그에 게시하거나, 보고서를 다시 생성하거나, Copilot 독립 실행형 환경에서 열기를 선택할 수 있는 옵션이 제공됩니다.
파일 분석
정교한 공격에서는 종종 탐지를 피하려고 합법적인 파일이나 시스템 파일을 모방한 파일을 사용합니다. 보안 팀은 Microsoft Defender XDR의 Copilot으로 AI 기반 파일 분석 기능을 통해 악의적이고 의심스러운 파일을 신속하게 식별할 수 있습니다.
특정 파일의 세부 프로필 페이지에 액세스하는 여러 가지 방법이 있습니다. 이 예제에서는 영향을 받은 파일이 있는 인시던트의 인시던트 그래프를 통해 파일로 이동합니다. 인시던트 그래프는 공격의 전체 범위, 시간이 지남에 따라 공격이 네트워크를 통해 확산된 방식, 공격 시작 위치, 공격자의 침해 정도를 보여줍니다.
인시던트 그래프에서 파일을 선택하면 파일을 볼 수 있는 옵션이 표시됩니다. 보기 파일을 선택하면 화면 오른쪽에 영향을 받은 파일이 나열된 패널이 열립니다. 파일을 선택하면 파일 세부 정보에 대한 개요와 파일 분석 옵션이 표시됩니다. 분석을 선택하면 Copilot 파일 분석이 열립니다.
디바이스 및 ID 요약
보안 팀은 Defender의 Copilot 디바이스 요약 기능을 사용하여 디바이스의 보안 상태, 취약한 소프트웨어 정보 및 비정상적 동작을 가져올 수 있습니다. 보안 분석가는 디바이스의 요약을 활용하여 인시던트와 경고에 대한 조사 속도를 높일 수 있습니다.
디바이스 요약에 액세스하는 방법에는 여러 가지가 있습니다. 이 예제에서는 인시던트 자산 페이지를 통해 디바이스 요약으로 이동합니다. 인시던트의 자산 탭을 선택하면 모든 자산이 표시됩니다. 왼쪽 탐색 패널에서 디바이스를 선택한 다음, 특정 디바이스 이름을 선택합니다. 오른쪽에 열리는 개요 페이지에 Copilot을 선택하는 옵션이 있습니다.
마찬가지로 Microsoft Defender XDR의 Copilot은 ID를 요약할 수 있습니다.
독립 실행형 환경으로 이동
Microsoft Defender XDR을 사용하는 분석가는 Defender XDR에서 많은 시간을 보내기 때문에 포함된 환경은 보안 조사를 시작하기에 좋은 장소입니다. 알게 된 내용에 따라 더 심층적인 조사가 필요하다고 판단할 수 있습니다. 이 시나리오에서는 독립 실행형 환경으로 쉽게 전환하여 사용자의 역할에 맞는 모든 Copilot 기능을 제공하는 더욱 상세한 교차 제품 조사를 수행할 수 있습니다.
포함된 환경을 통해 생성된 콘텐츠를 독립 실행형 환경으로 쉽게 전환할 수 있습니다. 독립 실행형 환경으로 이동하려면 생성된 콘텐츠 창 내의 줄임표를 선택한 다음 보안 Copilot에서 열기를 선택합니다.
