Microsoft Security Copilot에서 사용할 수 있는 Microsoft 플러그 인을 설명합니다.

  • 10분

Microsoft Security Copilot은 Microsoft 고유의 보안 제품, 타사 공급업체, 오픈 소스 인텔리전스 피드, 웹 사이트, 기술 자료를 비롯한 다양한 원본과 통합되어 조직과 관련된 지침을 생성합니다.

Copilot이 이러한 다양한 원본에 통합되는 메커니즘 중 하나는 플러그 인을 사용하는 것입니다. 플러그 인은 Copilot의 기능을 확장합니다. 이 단원에서는 Microsoft 플러그 인을 탐색합니다.

Microsoft 플러그 인

Microsoft 플러그 인은 조직의 Microsoft 제품 내에서 정보와 기능에 대한 Copilot 액세스를 제공합니다. 다음 이미지는 사용 가능한 Microsoft 플러그 인의 하위 집합만 보여 주며 플러그 인이 나열되는 순서는 제품에 표시되는 순서와 다를 수 있습니다.

Copilot 소유자가 플러그 인 액세스를 제한한 경우, 제한으로 설정된 플러그 인은 회색으로 표시되고 제한됨으로 표시됩니다.

일반적으로, Microsoft 플러그 인의 경우 Copilot은 OBO(대신) 모델을 사용합니다. 즉, Copilot은 고객이 특정 제품에 대한 라이선스를 가지고 있으며 해당 제품에 자동으로 로그인된다는 것을 알고 있습니다. 그런 다음, 플러그 인을 사용하도록 설정하고 해당하는 경우 매개 변수가 구성된 경우 Copilot에서 특정 제품에 액세스할 수 있습니다. 설정 아이콘이나 설정 단추로 표시되는 것처럼 설정이 필요한 일부 Microsoft 플러그 인에는 OBO 모델 대신 인증에 사용되는 구성 가능한 매개 변수가 포함될 수 있습니다.

사용하도록 설정된 플러그인에서 지원하는 시스템 기능을 보려면 프롬프트 표시줄에 있는 프롬프트 아이콘을 선택하고 "모든 시스템 기능 보기"를 선택합니다. 시스템 기능은 Copilot에서 사용할 수 있는 구체적인 단일 프롬프트입니다. 시스템 기능을 선택하려면 일반적으로 유용한 응답을 가져오기 위해 더 많은 입력이 필요하지만 Copilot은 해당 지침을 제공합니다.

프롬프트 아이콘의 화면 캡처를 선택하면 시스템 기능을 선택할 수 있는 창이 열립니다.

다음 섹션에서는 사용 가능한 Microsoft 플러그 인 중 대부분에 대한 간략한 설명을 제공하지만, 전부는 아닙니다. Microsoft Security Copilot은 Microsoft 제품에 대한 지원을 지속적으로 추가하고 있습니다.

Azure Firewall(미리 보기)

Azure Firewall은 Azure에서 실행되는 클라우드 워크로드에 대해 최고의 위협 방지 기능을 제공하는 클라우드 기반 지능형 네트워크 방화벽 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다.

Copilot과 Azure Firewall의 통합은 분석가가 IDPS(침입 검색 및 방지 시스템)에서 가로채는 악성 트래픽 및/또는 환경 전반에서 방화벽의 위협 인텔리전스 기능을 자세히 조사하는 데 도움이 됩니다.

Copilot과 Azure Firewall 통합을 사용하려면 다음을 수행합니다.

  • Security Copilot과 함께 사용할 Azure Firewall은 IDPS에 대한 특정 리소스 구조화된 로그로 구성되어야 하며 이러한 로그는 Log Analytics 작업 영역으로 전송되어야 합니다.
  • Security Copilot에서 Azure Firewall 플러그 인을 사용하는 사용자는 방화벽 및 관련 Log Analytics 작업 영역에 액세스하려면 적절한 Azure RBAC(역할 기반 액세스 제어) 역할이 있어야 합니다.
  • Security Copilot의 Azure Firewall 플러그 인을 켜야 합니다.

Copilot의 Azure Firewall 기능은 기본 제공 프롬프트이지만, 지원되는 기능에 따라 사용자 고유의 프롬프트를 입력할 수도 있습니다.

독립 실행형 환경에서 실행할 수 있는 Azure Firewall 기능의 화면 캡처.

예 프롬프트는 다음과 같습니다.

  • 내 방화벽 <방화벽 이름>이 악의적인 트래픽을 차단한 적이 있나요?
  • 지난 7일 동안 리소스 그룹 <리소스 그룹 이름>의 방화벽 <방화벽 이름>에 대한 상위 20개의 IDPS 적중은 무엇인가요?
  • 모든 방화벽이 서명 ID <ID 번호>의 공격으로부터 보호되도록 하려면 어떻게 해야 하나요?

Azure Web Application Firewall(미리 보기)

Security Copilot에 Azure WAF(Web Application Firewall)가 통합되어 Azure WAF 이벤트를 심층적으로 조사할 수 있습니다. Azure WAF에서 트리거한 WAF 로그를 몇 분 만에 조사하고 컴퓨터 속도로 자연어 응답을 사용하여 관련 공격 벡터를 제공하는 데 도움이 될 수 있습니다. 이는 환경의 위협 환경에 대한 표시 여부를 제공합니다. 이를 통해 가장 자주 트리거되는 WAF 규칙 목록을 검색하고 환경에서 가장 문제가 되는 IP 주소를 식별할 수 있습니다.

Security Copilot 통합은 Azure Application Gateway와 통합된 Azure WAF 및 Azure Front Door와 통합된 Azure WAF 모두에서 지원됩니다.

Copilot에서 Azure WAF 통합을 사용하려면 Security Copilot의 Azure WAF 플러그 인을 켜고 구성해야 합니다.

Azure WAF의 미리 보기 독립 실행형 환경은 다음과 같은 작업에 도움이 될 수 있습니다.

  • 고객 환경에서 트리거된 상위 Azure WAF 규칙 목록을 제공하고 관련 공격 벡터로 심층적인 컨텍스트를 생성합니다.
  • 고객 환경의 악성 IP 주소 목록을 제공하고 관련 위협을 발생시킵니다.
  • SQLi(SQL 삽입) 공격을 요약합니다.
  • XSS(교차 사이트 스크립팅) 공격을 요약합니다.

Copilot의 Azure Web Application Firewall 기능은 기본 제공 프롬프트이지만, 지원되는 기능에 따라 사용자 고유의 프롬프트를 입력할 수도 있습니다.

독립 실행형 환경에서 실행할 수 있는 Azure Web Application Firewall 기능의 화면 캡처.

예 프롬프트는 다음과 같습니다.

  • 지난 날 글로벌 WAF에 SQL 삽입 공격이 있었나요?
  • 지난 24시간 동안 트리거된 상위 글로벌 WAF 규칙은 무엇이었나요?
  • 지난 6시간 동안 내 Azure Front Door WAF의 악성 IP 주소 목록을 요약하시겠어요?

Azure AI 검색(미리 보기)

Azure AI 검색 플러그 인을 사용하면 회사의 기술 자료 또는 리포지토리를 Microsoft Security Copilot에 연결할 수 있습니다. 이 플러그 인과 기술 자료 연결에 대한 자세한 내용은 이 모듈의 후속 단원에서 설명됩니다.

Microsoft Entra

Microsoft Entra는 조직에서 모든 ID를 보호하고 리소스에 대한 액세스를 보호할 수 있는 다중 클라우드 ID 및 네트워크 액세스 솔루션 제품군입니다. ID 및 네트워크 액세스 관리를 위한 통합 플랫폼을 제공하여 멀티클라우드 및 하이브리드 환경에서 ID를 보호하고 리소스에 대한 액세스를 더 쉽게 수행할 수 있습니다.

Security Copilot은 Microsoft Entra와 통합되었습니다. Entra 플러그 인을 사용하도록 설정하면 보안 분석가가 위험 요약, 수정 단계 및 위험에 처한 각 ID에 대한 권장 지침을 자연어로 즉시 얻을 수 있습니다. 분석가는 Copilot을 사용하여 수명 주기 워크플로 만들기를 안내하여 사용자 자격 증명 및 액세스 권한을 만들고 발급하는 프로세스를 간소화할 수 있습니다. 이러한 항목 및 기타 많은 엔트라 기능은 Copilot에서 지원됩니다.

Copilot의 Microsoft Entra 기능은 기본으로 제공되는 프롬프트이지만, 지원되는 기능에 따라 사용자만의 프롬프트를 입력할 수도 있습니다.

독립 실행형 환경에서 실행할 수 있는 Entra 기능의 화면 캡처.

플러그 인을 사용하도록 설정하면 Copilot과 Microsoft Entra의 통합을 포함된 환경을 통해 경험할 수 있습니다. 포함된 환경을 통해 지원되는 시나리오는 "Microsoft Security Copilot의 포함된 환경 설명"이라는 모듈에서 더 자세히 설명합니다.

Microsoft Intune

Microsoft Intune은 클라우드 기반 엔드포인트 관리 솔루션입니다. 조직 리소스에 대한 사용자 액세스를 관리하고 모바일 장치, 데스크톱 컴퓨터 및 가상 끝점을 포함한 많은 장치에서 앱 및 장치 관리를 간소화합니다.

Security Copilot은 Microsoft Intune과 통합합니다. Microsoft Intune을 Copilot과 동일한 테넌트에서 사용할 수 있고 플러그 인이 사용하도록 설정된 경우 Copilot은 Intune에서 관리되는 디바이스, 앱, 규정 준수 및 구성 정책 및 정책 할당에 대한 정보를 가져올 수 있습니다.

Microsoft Intune 플러그 인을 활용하려면 사용자에게 Copilot에 대한 액세스 권한을 부여하는 역할 권한 외에도 Intune 엔드포인트 보안 관리자 역할과 같은 Intune 서비스별 역할을 할당해야 합니다.

Intune 플러그 인에서 지원하는 기능을 통해 사용자는 다음을 수행할 수 있습니다.

  • 다른 보안 기준 비교.
  • 기존 정책에 대한 요약 가져오기.
  • 정책 할당 범위 가져오기.
  • 두 디바이스 간의 차이점 또는 비교 가져오기.
  • 디바이스에 대해 질문하여 세부 정보를 빠르게 수집.
  • 문제 해결 또는 보안 조사를 위해 사용자의 디바이스 등록 및 디바이스 준수에 대한 자세한 정보 가져오기.
  • 기타

Copilot의 Microsoft Intune 기능은 사용할 수 있는 기본 제공 프롬프트이지만 지원되는 기능에 따라 고유한 프롬프트를 입력할 수도 있습니다.

독립 실행형 환경에서 실행할 수 있는 Intune 프롬프트 제안의 화면 캡처.

일부 샘플 프롬프트에는 다음이 포함됩니다.

  • 어떤 Intune 앱이 가장 많이 할당되나요?
  • 지난 24시간 동안 Intune에 등록된 디바이스는 몇 개인가요?
  • DeviceA와 DeviceB 디바이스 간 하드웨어 구성의 차이점은 무엇인가요?

플러그 인을 사용하도록 설정하면 Copilot과 Microsoft Intune의 통합을 포함된 환경을 통해 경험할 수도 있습니다. 포함된 환경을 통해 지원되는 시나리오는 "Microsoft Security Copilot의 포함된 환경 설명"이라는 모듈에서 더 자세히 설명합니다.

Microsoft Defender XDR

Microsoft Defender XDR은 엔드포인트, ID, 메일, 애플리케이션 전반에서 감지, 방지, 조사, 응답을 기본적으로 조정하여 정교한 공격에 대비한 통합 보호를 제공하는 통합된 위반 전후 엔터프라이즈 방어 도구 모음입니다.

Copilot에는 Microsoft Defender XDR과 관련된 두 개의 별도 플러그 인이 있습니다(사용자 인터페이스는 여전히 Microsoft 365 Defender를 표시할 수 있음).

  • Microsoft Defender XDR
  • Microsoft Defender XDR용 KQL에 대한 자연어

사용자에게 Copilot에 대한 액세스 권한을 부여하는 역할 권한은 Microsoft Defender XDR 데이터에 대한 액세스 수준을 결정합니다. Microsoft Defender XDR 플러그 인 또는 자연어를 Defender XDR KQL 플러그 인에 사용하는 데 필요한 추가 역할 권한은 없습니다.

Microsoft Defender XDR

Microsoft Defender XDR 플러그 인에는 사용자가 다음을 수행할 수 있는 기능이 포함되어 있습니다.

  • 인시던트를 빠르게 요약
  • 안내된 응답을 통해 인시던트에 대한 조치를 취합니다.
  • 인시던트 보고서 만들기
  • 인시던트 단계별 응답 가져오기
  • Defender 디바이스 요약 가져오기
  • 파일 분석
  • 자세히...

Copilot의 Microsoft Defender XDR 기능은 기본으로 제공되는 프롬프트이지만, 지원되는 기능에 따라 사용자만의 프롬프트를 입력할 수도 있습니다.

독립 실행형 환경에서 실행할 수 있는 Defender XDR 기능의 화면 캡처.

또한 Copilot에는 관련 경고, 평판 점수, 사용자 및 디바이스가 포함된 특정 인시던트에 대한 보고를 받는 데 사용할 수 있는 Microsoft Defender XDR 인시던트 조사를 위한 프롬프트북이 기본 제공됩니다.

플러그 인을 사용하도록 설정하면 Copilot과 Defender XDR의 통합을 포함된 환경을 통해서도 경험할 수 있습니다. 포함된 환경을 통해 지원되는 시나리오는 "Microsoft Security Copilot의 포함된 환경 설명"이라는 모듈에서 더 자세히 설명합니다.

Microsoft Defender용 KQL에 대한 자연어

NL2KQLDefender(Microsoft Defender용 KQL에 대한 자연어) 플러그 인을 사용하면 위협 헌팅 컨텍스트에서 자연어 질문을 즉시 실행 가능한 KQL 쿼리로 변환하는 쿼리 도우미 기능을 사용할 수 있습니다. 쿼리 도우미는 KQL 쿼리를 생성하여 보안 팀의 시간을 절약합니다. 이 쿼리는 분석가의 요구에 따라 자동으로 실행되거나 추가로 조정될 수 있습니다.

Microsoft Defender EASM(Defender 외부 공격 표면 관리)

Microsoft Defender EASM(Defender 외부 공격 표면 관리)은 디지털 공격 표면을 지속적으로 검색하고 매핑하여 온라인 인프라의 외부를 보여 줍니다. 이러한 가시성을 통해 보안 및 IT 팀은 알 수 없는 것을 식별하고, 위험의 우선 순위를 지정하며, 위협을 제거하고, 취약성 및 노출 제어 기능을 방화벽 너머로 확장할 수 있습니다. 공격 표면 인사이트는 취약성 및 인프라 데이터를 사용하여 조직의 주요 관심사 영역을 보여 줍니다.

Copilot과 동일한 테넌트에서 Defender EASM을 사용하고 플러그 인을 사용하도록 설정하는 경우 Copilot은 Defender EASM에서 조직의 공격 표면에 대한 인사이트를 표시할 수 있습니다. 이러한 인사이트는 보안 태세를 이해하고 취약성을 완화하는 데 도움이 될 수 있습니다.

Copilot의 Defender EASM 기능은 기본으로 제공되는 프롬프트이지만, 지원되는 기능에 따라 사용자만의 프롬프트를 입력할 수도 있습니다.

독립 실행형 환경에서 실행할 수 있는 EASM 시스템 기능의 화면 캡처.

몇 가지 프롬프트 예제는 다음과 같습니다.

  • 내 외부 공격 표면이 CVE-2023-21709의 영향을 받나요?
  • 내 공격 화면에서 우선 순위가 높은 CVSS의 영향을 받는 자산을 가져옵니다.
  • 조직에 중요한 CVSS가 있는 자산은 몇 개인가요?

이 플러그 인을 사용하려면 조직의 Defender EASM 구독을 식별하도록 매개 변수를 구성해야 합니다.

구성해야 하는 EASM 플러그 인 설정의 화면 캡처.

Microsoft Defender 위협 인텔리전스

Microsoft Defender 위협 인텔리전스(Defender TI)는 위협 인프라 분석 및 위협 인텔리전스 수집 시 심사, 인시던트 대응, 위협 헌팅, 취약성 관리 및 사이버 위협 인텔리전스 분석가 워크플로를 간소화하는 플랫폼입니다.

Security Copilot은 Microsoft Defender TI와 통합됩니다. Defender TI 플러그 인을 사용하도록 설정하면 Copilot은 위협 활동 그룹, IOC(손상 지표), 도구 및 상황별 위협 인텔리전스에 대한 정보를 제공합니다. 프롬프트 및 프롬프트북을 사용하여 인시던트를 조사하거나, 위협 인텔리전스 정보로 헌팅 흐름을 보강하거나, 조직 또는 글로벌 위협 환경에 대한 더 많은 지식을 얻을 수 있습니다.

Copilot의 Microsoft Defender TI 기능은 기본으로 제공되는 프롬프트이지만, 지원되는 기능에 따라 사용자만의 프롬프트를 입력할 수도 있습니다.

독립 실행형 환경에서 실행할 수 있는 Defender TI 시스템 기능의 화면 캡처.

일부 샘플 프롬프트에는 다음이 포함됩니다.

  • 최신 위협 문서를 보여 주세요.
  • 금융 산업과 관련된 위협 문서를 가져옵니다.
  • 취약성에 취약한 기술인 CVE-2021-44228을 공유합니다.
  • 취약성 CVE-2021-44228을 요약합니다.

Defender TI에서 정보를 제공하는 내장 프롬프트북에는 다음이 포함됩니다.

  • 취약성 영향 평가 - 해결 방법에 대한 단계를 포함하여 알려진 취약성에 대한 인텔리전스를 요약하는 보고서를 생성합니다.
  • 위협 행위자 프로필 - 일반적인 도구 및 전술에 대한 방어 제안을 포함하여 알려진 활동 그룹을 프로파일링하는 보고서를 생성합니다.

Microsoft Purview

Microsoft Purview는 조직이 어디에 있든 데이터를 관리, 보호 및 관리하는 데 도움이 되는 포괄적인 솔루션 집합입니다. Microsoft Purview 솔루션은 통합 적용 범위를 제공하고 조직 전체의 데이터 조각화, 데이터 보호 및 거버넌스를 방해하는 가시성 부족, 기존 IT 관리 역할의 모호함 문제를 해결하는 데 도움이 됩니다.

Security Copilot의 Purview 플러그 인을 사용하면 Microsoft Purview에서 적절한 역할 권한이 있는 경우 공격의 원본과 위험에 노출될 수 있는 중요 데이터를 식별하는 데 도움이 되는 귀중한 데이터와 사용자 위험 인사이트를 얻을 수 있습니다. Microsoft Copilot은 쿼리에 답하기 위해 데이터에 액세스하려고 할 때 사용자의 권한을 가정하므로 데이터에 액세스하는 데 필요한 역할 권한이 있어야 합니다. 또한 조직의 라이선스를 부여하고 해당 Microsoft Purview 솔루션에 온보딩해야 합니다.

Copilot의 Microsoft Purview 기능은 기본으로 제공되는 프롬프트이지만, 지원되는 기능에 따라 사용자만의 프롬프트를 입력할 수도 있습니다.

Purview 기능의 화면 캡처.

Copilot 기능은 포함된 환경을 통해 Purview 솔루션 내에서 직접 경험할 수도 있습니다. 포함된 환경을 통해 지원되는 시나리오는 "Microsoft Security Copilot의 포함된 환경 설명"이라는 모듈에서 더 자세히 설명합니다.

Microsoft Sentinel(미리 보기)

Microsoft Sentinel은 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공합니다. Microsoft Sentinel을 사용하면 공격 검색, 위협 표시 유형, 자동 관리 헌팅 및 위협 응답을 위한 단일 솔루션을 얻을 수 있습니다.

Copilot에는 Sentinel과 관련된 두 개의 별도 플러그 인이 있습니다.

  • Microsoft Sentinel(미리 보기)
  • Microsoft Sentinel KQL에 대한 자연어(미리 보기)

Sentinel 플러그 인에 있는 Sentinel 및 NL2KQK의 화면 캡처.

Microsoft Sentinel(미리 보기)

Sentinel 플러그 인을 활용하려면 사용자에게 Copilot에 대한 액세스 권한을 부여하는 역할 권한과 작업 영역의 인시던트에 액세스하기 위해 Microsoft Sentinel 판독기와 같은 Sentinel 특정 역할을 할당해야 합니다.

또한 Sentinel 플러그 인을 사용하려면 사용자가 Sentinel 작업 영역, 구독 이름 및 리소스 그룹 이름을 구성해야 합니다.

Sentinel 플러그 인 설정 페이지의 화면 캡처.

Sentinel 플러그 인 기능은 인시던트 및 작업 영역에 중점을 둡니다. 또한 Copilot에는 Microsoft Sentinel 인시던트 조사를 위한 프롬프트북이 포함되어 있습니다. 이 프롬프트북에는 관련 경고, 평판 점수, 사용자 및 디바이스와 함께 특정 인시던트에 대한 보고서를 가져오기 위한 프롬프트가 포함되어 있습니다.

Microsoft Sentinel KQL의 자연어(미리 보기)

Sentinel KQL(NL2KQLSentinel) 플러그 인에 대한 자연어는 위협 헌팅 컨텍스트의 자연어 질문을 즉시 실행 가능한 KQL 쿼리로 변환합니다. 이렇게 하면 분석가의 요구에 따라 자동으로 실행하거나 추가로 조정할 수 있는 KQL 쿼리를 생성하여 보안 팀 시간을 절약할 수 있습니다.