다음을 통해 공유

Microsoft Defender에서 Microsoft Copilot을 사용하여 스크립트 분석

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

보안 팀은 Microsoft Defender 포털의 Microsoft Security Copilot AI 기반 조사 기능을 통해 악의적이거나 의심스러운 스크립트 및 명령줄의 분석 속도를 높일 수 있습니다.

이 가이드에서는 스크립트 분석 기능의 정의와 작동 방식, 생성된 결과에 대한 피드백을 제공할 수 있는 방법에 대해 설명합니다.

시작하기 전에 다음 사항에 유의합니다.

Security Copilot 새로운 경우 다음 문서를 읽어 익숙해져야 합니다.

랜섬웨어와 같은 가장 복잡하고 정교한 공격은 스크립트 및 PowerShell 명령줄 사용을 비롯한 다양한 방법을 통해 탐지를 회피합니다. 또한 이러한 스크립트는 종종 난독화되어 탐지 및 분석의 복잡성을 가중시킵니다. 보안 운영 팀은 스크립트와 코드를 신속하게 분석하여 기능을 이해하고 적절한 완화를 적용해 공격이 네트워크 내에서 더 이상 진행되지 않도록 즉시 조치를 취해야 합니다.

스크립트 분석 기능은 보안 팀이 외부 도구를 사용하지 않고 스크립트를 검사할 수 있는 추가 기능을 제공합니다. 또한 이 기능은 분석의 복잡성을 줄이고, 문제를 최소화하며, 보안 팀이 스크립트를 악성인지 무해한 것인지 신속하게 평가하고 식별할 수 있도록 합니다.

Microsoft Defender 통합 Security Copilot

스크립트 분석 기능은 Security Copilot 대한 액세스를 프로비전한 고객을 위해 Microsoft Defender 포털에서 사용할 수 있습니다.

스크립트 분석은 Microsoft Defender XDR 플러그 인을 통해 Security Copilot 독립 실행형 환경에서도 사용할 수 있습니다. Security Copilot 사전 설치된 플러그 인에 대해 자세히 알아보세요.

주요 기능

인시던트 페이지의 인시던트 그래프 아래에 있는 공격 스토리 내에서 및 디바이스 타임라인에서 스크립트 분석 기능에 액세스할 수 있습니다.

분석을 시작하려면 다음 단계를 수행합니다.

  1. 인시던트 페이지를 연 다음, 왼쪽 창에서 항목을 선택하여 인시던트 그래프 아래의 공격 스토리를 엽니다. 공격 스토리 내에서 분석하려는 스크립트 또는 명령줄이 있는 이벤트를 선택합니다. 분석을 클릭하여 분석을 시작합니다.

    공격 스토리 보기의 스크립트 분석 단추를 보여 주는 스크린샷

    또는 디바이스 타임라인 보기에서 검사할 이벤트를 선택할 수 있습니다. 파일 세부 정보 창에서 분석을 선택하여 스크립트 분석 기능을 실행합니다.

    디바이스 타임라인 분석 단추를 보여 주는 스크린샷

  2. Copilot이 스크립트 분석을 실행하고 결과를 Copilot 창에 표시합니다. 코드 표시를 선택하여 스크립트를 확장하거나 코드 숨기기를 선택하여 확장을 닫습니다.

    스크립트 분석 결과 내에서 코드 표시 또는 숨기기 옵션을 강조 표시하는 스크린샷

  3. MITRE 기술 표시를 선택하여 스크립트와 연결된 MITRE ATT&CK 기술을 봅니다. 이 정보는 스크립트에서 사용하는 기술과 스크립트가 환경에 미치는 영향을 이해하는 데 도움이 됩니다. MITRE 기술 숨기기를 선택하여 확장을 닫습니다.

    스크립트 분석 결과 내에서 MITRE 기술 표시 또는 숨기기 옵션을 강조 표시하는 스크린샷

  4. 스크립트 분석 카드 오른쪽 위에 있는 기타 작업 줄임표(...)를 선택하여 결과를 복사하거나 다시 생성하거나 Security Copilot 독립 실행형 환경에서 결과를 봅니다. Security Copilot 열기를 선택하면 프롬프트를 입력하고 다른 플러그 인에 액세스할 수 있는 Copilot 독립 실행형 포털에 새 탭이 열립니다.

    Copilot 스크립트 분석 카드 추가 작업 옵션을 보여 주는 스크린샷

  5. 결과를 검토하여 정보를 사용하여 조사 및 인시던트에 대한 대응을 안내합니다.

샘플 스크립트 분석 프롬프트

Security Copilot 독립 실행형 포털에서 다음 프롬프트를 사용하여 스크립트를 식별하고 분석할 수 있습니다.

  • Defender 인시던트 {incident ID}의 스크립트를 식별합니다. 이러한 악성 스크립트인가요?

Security Copilot 포털에서 스크립트를 분석할 때 스크립트 분석 기능이 결과를 제공하도록 프롬프트에 Defender라는 단어를 포함하는 것이 좋습니다.

피드백 제공

Microsoft는 기능의 지속적인 개선에 매우 중요하므로 Copilot에 피드백을 제공하는 것이 좋습니다. 스크립트 분석 카드 끝에 있는 피드백 아이콘 Defender의 Copilot 카드 피드백 아이콘 스크린샷.을 선택하여 결과에 대한 피드백을 제공할 수 있습니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.