Microsoft Security Copilot과 Microsoft Sentinel 통합 설명
Microsoft Sentinel은 Microsoft Security Copilot과 통합됩니다.
Microsoft Security Copilot에 온보딩된 기업의 경우 Copilot 포털을 통해 액세스할 수 있는 플러그 인으로 통합이 가능합니다. Sentinel은 Security Copilot과 통합할 수 있는 두 가지 플러그 인을 제공합니다.
- Microsoft Sentinel(미리 보기)
- Microsoft Sentinel용 자연어-KQL(미리 보기)
Microsoft Sentinel(미리 보기) 플러그 인. Sentinel 플러그 인을 활용하려면 사용자에게 Copilot에 대한 액세스 권한을 부여하는 역할 권한과 작업 영역의 인시던트에 액세스하기 위해 Microsoft Sentinel 판독기와 같은 Sentinel 특정 역할을 할당해야 합니다.
Sentinel 플러그 인을 사용하려면 사용자가 Sentinel 작업 영역, 구독 이름 및 리소스 그룹 이름을 구성해야 합니다.
Sentinel 플러그 인 기능은 인시던트 및 작업 영역에 중점을 둡니다. Copilot의 Microsoft Intune 기능은 사용할 수 있는 기본 제공 프롬프트이지만 지원되는 기능에 따라 고유한 프롬프트를 입력할 수도 있습니다.
또한 Copilot에는 Microsoft Sentinel 인시던트 조사를 위한 프롬프트북이 포함되어 있습니다. 이 프롬프트북에는 관련 경고, 평판 점수, 사용자 및 디바이스와 함께 특정 인시던트에 대한 보고서를 가져오기 위한 프롬프트가 포함되어 있습니다.
Microsoft Sentinel 인시던트 조사 프롬프트 북은 조사를 위한 좋은 시작점일 뿐만 아니라 효과적인 프롬프트를 만들기 위한 시작점이기도 합니다.
Microsoft Sentinel KQL에 대한 자연어(미리 보기) 플러그 인. Sentinel KQL(NL2KQLSentinel) 플러그 인에 대한 자연어는 위협 헌팅 컨텍스트의 자연어 질문을 즉시 실행 가능한 KQL 쿼리로 변환합니다. 이렇게 하면 분석가의 요구에 따라 자동으로 실행하거나 추가로 조정할 수 있는 KQL 쿼리를 생성하여 보안 팀 시간을 절약할 수 있습니다. Microsoft Sentinel용 자연어에서 KQL(미리 보기) 플러그 인에서는 Microsoft Sentinel 데이터를 사용하여 KQL 헌팅 쿼리를 생성하고 실행합니다. 이 기능은 독립 실행형 환경 및 Microsoft Defender 포털의 고급 헌팅 섹션에서 사용할 수 있습니다.
Defender의 Copilot과 Microsoft Sentinel
Microsoft Sentinel과 Copilot의 통합은 Defender 포털을 사용하여 독립 실행형 환경 및 포함된 환경을 통해 경험할 수 있습니다. Defender 포털을 통해 액세스되는 포함된 환경은 Microsoft Sentinel 데이터와 함께 통합 보안 작업 플랫폼을 사용합니다.
인시던트 - 이제 Microsoft Sentinel 인시던트가 Defender XDR 인시던트와 통합되므로 Microsoft Defender의 Copilot를 사용하여 인시던트 요약, 안내된 응답 및 Sentinel 인시던트의 인시던트 보고서를 사용할 수 있습니다.
