Microsoft Defender XDR의 Copilot 기능 살펴보기

  • 30분

이 연습에서는 Microsoft Defender XDR의 인시던트를 조사합니다. 조사의 일환으로 인시던트 요약, 디바이스 요약, 스크립트 분석 등을 포함하여 Microsoft Defender XDR의 Copilot의 주요 기능을 살펴봅니다. 또한 조사를 독립 실행형 환경으로 전환하고 조사 세부 정보를 동료와 공유하는 방법으로 핀 보드를 사용합니다.

참고 항목

이 연습의 환경은 제품에서 생성된 시뮬레이션입니다. 제한된 시뮬레이션으로 페이지의 링크가 사용하도록 설정되지 않을 수 있으며 지정된 스크립트를 벗어나는 텍스트 기반 입력은 지원되지 않을 수 있습니다. "이 기능은 시뮬레이션 내에서 사용할 수 없습니다."라는 팝업 메시지가 표시됩니다. 이 경우 확인을 선택하고 연습 단계를 계속합니다.
시뮬레이션 내에서 이 기능을 사용할 수 없음을 나타내는 팝업 화면의 스크린샷입니다.

또한 Microsoft Security Copilot은 이전에는 Microsoft Copilot for Security라고 했습니다. 이 시뮬레이션을 통해 사용자 인터페이스는 여전히 원래 이름을 반영한다는 것을 알 수 있습니다.

연습

이 연습에서는 Avery Howard로 로그인했으며 Copilot 소유자 역할을 가지고 있습니다. Microsoft Defender XDR의 포함된 Copilot 기능에 액세스하려면 새 통합 보안 운영 플랫폼을 사용하여 Microsoft Defender에서 작업합니다. 연습이 끝날 무렵에는 Microsoft Security Copilot의 독립 실행형 환경으로 전환합니다.

이 연습을 완료하는 데 약 30분 정도 소요됩니다.

참고 항목

랩 지침에서 시뮬레이션 환경에 대한 링크를 열어야 하는 경우 일반적으로 지침과 연습 환경을 동시에 볼 수 있도록 새 브라우저 창에서 링크를 여는 것이 좋습니다. 이렇게 하려면 마우스 오른쪽 키를 선택하고 옵션을 선택합니다.

작업: 인시던트 요약 및 단계별 대응 살펴보기

  1. 다음 링크를 선택하여 시뮬레이션 환경을 엽니다. Microsoft Defender 포털.

  2. Microsoft Defender 포털에서:

    1. 조사 및 응답을 확장합니다.
    2. 인시던트 및 경고를 확장합니다.
    3. 인시던트를 선택합니다.

  3. 목록에서 첫 번째 인시던트(인시던트 ID: 30342 손상된 자산에서 사람이 운영하는 랜섬웨어 공격이 시작됨(공격 중단))를 선택합니다.

  4. 이번 인시던트는 복잡합니다. Defender XDR은 많은 정보를 제공하지만 72개의 경고로 인해 어디에 집중해야 할지 아는 것이 어려울 수 있습니다. 인시던트 페이지 오른쪽에서 Copilot은 사용자의 집중과 대응을 안내하는 데 도움이 되는 인시던트 요약을 자동으로 생성합니다. 더 보기를 선택합니다.

    1. Copilot의 요약은 초기 액세스, 횡적 이동, 수집, 자격 증명 액세스 및 반출을 포함하여 이 인시던트가 어떻게 발전했는지 설명합니다. 이는 특정 디바이스를 식별하고 PsExec 도구가 실행 파일을 시작하는 데 사용되었음을 나타냅니다.
    2. 이러한 항목은 모두 추가 조사에 활용할 수 있는 항목입니다. 후속 작업에서 이들 중 일부를 살펴봅니다.

  5. Copilot 패널에서 아래로 스크롤하면 요약 바로 아래에 단계별 대응이 있습니다. 단계별 대응에서는 심사, 포함, 조사 및 수정을 지원하는 작업을 권장합니다.

    1. 심사 범주의 첫 번째 항목은 이 인시던트를 심사하는 것입니다. 옵션을 보려면 분류를 선택합니다. 다른 범주의 단계별 대응을 검토합니다.
    2. 단계별 대응 섹션 상단에 있는 상태 단추를 선택하고 완료됨으로 필터링합니다. 두 가지 완료된 작업이 공격 중단으로 표시됩니다. 자동 공격 중단은 진행 중인 공격을 억제하고, 조직 자산에 대한 영향을 제한하며, 보안 팀이 공격을 완전히 수정할 수 있는 더 많은 시간을 제공하도록 설계되었습니다.

  6. 인시던트 페이지를 열어 둡니다. 다음 작업에서 사용하게 됩니다.

작업: 디바이스 및 ID 요약 살펴보기

  1. 인시던트 페이지에서 첫 번째 경고인 의심스러운 URL이 클릭됨을 선택합니다.

  2. Copilot은 추가 분석을 위한 풍부한 정보를 제공하는 경고 요약을 자동으로 생성합니다. 예를 들어, 요약에서는 의심스러운 활동을 식별하고 데이터 수집 작업, 자격 증명 액세스, 맬웨어, 검색 작업 등을 식별합니다.

  3. 페이지에는 많은 정보가 있으므로 이 경고를 자세히 보려면 ​​경고 페이지 열기를 선택합니다. 이는 경고 페이지의 세 번째 패널, 인시던트 그래프 옆의 경고 제목 아래에 있습니다.

  4. 페이지 상단에는 parkcity-win10v 디바이스에 대한 카드가 있습니다. 타원을 선택하고 옵션을 확인합니다. 요약을 선택합니다. Copilot은 디바이스 요약을 생성합니다. 디바이스 요약에 액세스할 수 있는 방법이 다양하다는 것은 아무 의미가 없으며, 이 방법은 단지 하나의 편리한 방법일 뿐입니다. 요약에는 디바이스가 VM이고 디바이스 소유자를 식별하며 Intune 정책에 대한 준수 상태 등이 표시됩니다.

  5. 디바이스 카드 옆에는 디바이스 소유자용 카드가 있습니다. parkcity\jonaw를 선택합니다. 페이지의 세 번째 패널은 경고의 세부 정보를 표시하는 것부터 사용자에 대한 정보를 제공하는 것까지 업데이트됩니다. 이 경우 Microsoft Entra ID 위험 및 내부자 위험 심각도가 높은 것으로 분류되는 계정 담당자인 Jonathan Wolcott이 있습니다. 이러한 세부 정보는 Copilot 인시던트 및 경고 요약에서 배운 내용을 고려하면 이는 놀라운 일이 아닙니다. 줄임표를 선택한 다음 요약을 선택하면 Copilot에서 생성된 ID 요약을 가져올 수 있습니다.

  6. 경고 페이지를 열어 둡니다. 다음 작업에서 사용하게 됩니다.

작업: 스크립트 분석 살펴보기

  1. 경고 스토리에 집중해 보겠습니다 프로세스 트리를 더 자세히 보려면 ​​경고 기본 패널의 'partycity\jonaw'라고 레이블이 지정된 카드 바로 아래에 있는 최대화 최대화 아이콘를 선택합니다. 최대화된 보기에서 이 인시던트가 어떻게 발생했는지 더 명확하게 볼 수 있습니다. 많은 품목은 powershell.exe가 스크립트를 실행했음을 나타냅니다. 사용자 Jonathan Wolcott는 계정 관리자이므로, PowerShell 스크립트 실행은 이 사용자가 정기적으로 수행하는 작업이 아니라고 가정하는 것이 합리적입니다.

  2. powershell.exe가 스크립트를 실행함의 첫 번째 인스턴스를 확장합니다. Copilot에는 스크립트를 분석하는 기능이 있습니다. 분석을 선택합니다.

    1. Copilot은 스크립트 분석을 생성하고 피싱 시도이거나 웹 기반 익스플로잇을 전달하는 데 사용될 수 있음을 제안합니다.
    2. 코드 표시를 선택합니다. 코드에는 변형된 URL이 표시됩니다.

  3. powershell.exe가 스크립트를 실행했음을 나타내는 몇 가지 다른 항목이 있습니다. powershell.exe -EncodedCommand...라고 레이블이 지정된 항목을 확장합니다. 원본 스크립트는 Base 64로 인코딩되었지만 Defender가 이를 디코딩했습니다. 디코딩된 버전의 경우 분석을 선택합니다. 분석은 이 공격에 사용된 스크립트의 정교함을 강조 표시합니다.

  4. X(Copilot 패널 왼쪽에 있는 X)를 선택하여 경고 내용 페이지를 닫습니다. 이제 이동 경로를 사용하여 인시던트로 돌아갑니다. 손상된 자산에서 사람이 운영하는 랜섬웨어 공격이 시작됨(공격 중단)를 선택합니다.

작업: 파일 분석 살펴보기

  1. 인시던트 페이지로 돌아왔습니다. 경고 요약에서 Copilot은 'Kekeo' 맬웨어와 관련된 Rubeus.exe 파일을 식별했습니다. Defender XDR의 파일 분석 기능을 사용하여 가져올 수 있는 다른 인사이트를 확인할 수 있습니다. 파일에 액세스하는 방법에는 여러 가지가 있습니다. 페이지 상단에서 증거 및 응답 탭을 선택합니다.

  2. 화면 왼쪽에서 파일을 선택합니다.

  3. 목록에서 Rubeus.exe라는 엔터티가 있는 첫 번째 항목을 선택합니다.

  4. 열린 창에서 분석을 선택합니다. Copilot이 요약을 생성합니다.

  5. Copilot이 생성하는 자세한 파일 분석을 검토합니다.

  6. 파일 분석 창을 닫습니다.

작업: 독립형 환경으로 전환

이 작업은 복잡하며 더 많은 선임 분석가의 참여가 필요합니다. 이 작업에서는 조사를 중심으로 다른 분석가가 조사를 시작할 수 있도록 Defender 인시던트 프롬프트북을 실행합니다. 핀 보드에 ​​응답을 고정하고 조사에 도움을 주기 위해 팀의 고급 멤버와 공유할 수 있는 이 조사에 대한 링크를 생성합니다.

  1. 페이지 상단에서 공격 사례 탭을 선택하여 인시던트 페이지로 돌아갑니다.

  2. Copilot의 인시던트 요약 옆에 있는 줄임표를 선택하고 Security Copilot에서 열기를 선택합니다.

  3. Copilot은 독립 실행형 환경에서 열리고 인시던트 요약을 표시합니다. 더 많은 프롬프트를 실행할 수도 있습니다. 이 경우 인시던트에 대한 프롬프트북을 실행합니다. 프롬프트 아이콘 프롬프트 아이콘을 선택합니다.

    1. 모든 프롬프트북 보기를 선택합니다.
    2. Microsoft 365 Defender 인시던트 조사를 선택합니다.
    3. 프롬프트북 페이지가 열리고 Defender Incident ID를 묻습니다. 30342를 입력한 다음 실행을 선택합니다.
    4. 제공된 정보를 검토하세요. 독립 실행형 환경으로 전환하고 프롬프트북을 실행하면 조사에서 사용하도록 설정된 플러그 인을 기반으로 Defender XDR을 넘어 더 광범위한 보안 솔루션의 기능을 호출할 수 있습니다.

  4. 핀 아이콘 옆에 있는 상자 아이콘 상자 아이콘을 선택하여 모든 프롬프트와 해당 응답을 선택한 다음 핀 아이콘고정 아이콘을 선택하여 해당 응답을 핀 보드에 ​​저장합니다.

  5. 핀 보드가 자동으로 열립니다. 핀 보드에는 저장된 프롬프트와 응답이 각각의 요약과 함께 보관됩니다. 핀보드 아이콘 핀 보드 아이콘을 선택하여 핀보드를 열고 닫을 수 있습니다.

  6. 페이지 상단에서 공유를 선택하여 옵션을 확인합니다. 링크나 이메일을 통해 인시던트를 공유하면 Copilot 액세스 권한이 있는 조직 내 사람들이 이 세션을 볼 수 있습니다. X를 선택하여 창을 닫습니다.

  7. 이제 브라우저 탭을 닫아 시뮬레이션을 종료할 수 있습니다.

검토

이번 인시던트는 복잡합니다. 소화해야 할 정보가 상당히 많으며 Copilot은 인시던트, 개별 경고, 스크립트, 디바이스, ID 및 파일을 요약하는 데 도움이 됩니다. 이와 같은 복잡한 조사에는 여러 분석가의 참여가 필요할 수 있습니다. Copilot은 조사 세부 정보를 쉽게 공유하여 이 상황을 용이하게 합니다.