Microsoft Defender 위협 인텔리전스 설명

  • 5분

위협 인텔리전스 분석가는 위협 인텔리전스가 조직 및/또는 업계에 가장 큰 위협이 되는 분석과 다양한 위협 인텔리전스 수집의 균형을 맞추는 데 어려움을 겪고 있습니다. 마찬가지로 취약성 인텔리전스 분석가는 자산 인벤토리를 CVE(공개 취약점 및 노출) 정보와 상호 연결하여 조직과 관련된 가장 중요한 취약성에 대한 조사 및 수정의 우선 순위를 지정합니다.

Microsoft Defender 위협 인텔리전스는 중요한 데이터 원본을 집계 및 보강하고 혁신적이고 사용하기 쉬운 인터페이스에 표시하여 이러한 문제를 해결합니다. 그런 다음 분석가는 IOC(손상 지표)를 관련 문서, 행위자 프로필 및 취약성과 상호 연결할 수 있습니다. 또한 Defender TI를 사용하면 분석가가 조사에 대해 테넌트 내에서 동료 Defender TI 라이선스 사용자와 협업할 수 있습니다.

Microsoft Defender 위협 인텔리전스 기능에는 다음이 포함됩니다.

  • 위협 분석
  • Intel 프로필
  • Intel 탐색기
  • 프로젝트

위협 분석

위협 분석은 분석가로서 새로운 위협이 조직의 환경에 미치는 영향을 이해하는 데 도움이 됩니다.

위협 분석 보고서는 추적된 위협에 대한 분석과 해당 위협을 방어하는 방법에 대한 광범위한 지침을 제공합니다. 또한 네트워크의 데이터를 통합하여 위협이 활성 상태이고 적절한 보호 기능이 있는지를 표시합니다. 보고서를 필터링하고 검색할 수 있지만 Defender TI는 대시보드도 제공합니다.

위협 분석 대시보드는 조직과 가장 관련성이 높은 보고서를 강조합니다. 위협을 다음 세 가지 범주로 요약합니다.

  • 최신 위협 - 가장 최근에 게시 또는 업데이트된 위협 보고서를 활성 및 해결된 경고 수와 함께 표시합니다.
  • 영향이 높은 위협 - 조직에 가장 큰 영향을 미치는 위협을 표시합니다. 이 섹션에는 활성 및 해결된 경고 수가 가장 많은 위협을 먼저 나열합니다.
  • 가장 높은 노출 - 조직에 가장 높은 노출이 있는 위협을 나열합니다. 위협의 노출 수준은 두 가지 정보, 즉 위협과 관련된 취약성의 심각도와 조직에서 해당 취약성에 의해 악용될 수 있는 디바이스의 수를 사용하여 계산됩니다.

각 보고서는 개요, 분석가 보고서, 관련 인시던트, 영향을 받는 자산, 엔드포인트 노출 및 권장 작업을 제공합니다.

Intel 프로필

Intel 프로필은 추적된 위협 행위자, 악성 도구 및 취약성에 대한 Microsoft의 공유 가능한 지식의 확실한 소스입니다. 이 콘텐츠는 Microsoft의 위협 인텔리전스 전문가가 큐레이팅하고 지속적으로 업데이트하여 관련성 있고 실행 가능한 위협 컨텍스트를 제공합니다.

Intel 탐색기

Intel 탐색기는 분석가가 새로운 주요 아티클을 신속하게 검색하고 키워드, 지표 또는 CVE ID 검색을 수행하여 인텔리전스 수집, 심사, 인시던트 대응 및 헌팅 작업을 시작할 수 있는 곳입니다.

Microsoft Defender 위협 인텔리전스 문서는 위협 행위자, 도구, 공격 및 취약성에 대한 인사이트를 제공하는 설명입니다. 문서는 다양한 위협을 요약하고 사용자가 조치를 취할 수 있도록 실행 가능한 콘텐츠 및 주요 IOC에 연결합니다.

Defender TI는 사용자가 CVE에 대한 중요한 정보를 식별하는 데 도움이 되는 CVE ID 검색을 제공합니다. CVE-ID를 검색하면 취약성 문서가 표시됩니다.

Intel 프로젝트

Defender TI(Microsoft Defender 위협 인텔리전스)를 사용하면 조사에서 관심 지표 및 IOC(손상 지표)를 구성하는 프로젝트를 만들 수 있습니다. 프로젝트에는 관련된 모든 아티팩트 목록과 이름, 설명, 협력자 및 모니터링 프로필을 유지하는 자세한 기록이 포함됩니다.

Microsoft Defender 포털의 Microsoft Defender 위협 인텔리전스

Microsoft Defender TI는 Microsoft Defender 포털을 통해 경험할 수 있습니다.

Microsoft Defender 포털의 탐색 패널에 있는 위협 인텔리전스 노드에서 Microsoft Defender 위협 인텔리전스 기능을 찾을 수 있습니다.

Microsoft Defender 포털의 왼쪽 탐색 패널에 있는 위협 인텔리전스에 대한 선택 가능한 옵션의 스크린샷.

각 범주에서 화면 캡처를 보려면 다음 이미지에서 탭을 선택합니다. 각 경우에 포함된 Microsoft Security Copilot 기능을 보여주는 사이드 패널이 있습니다.

Microsoft Security Copilot과 Microsoft 위협 인텔리전스의 통합

Security Copilot은 Microsoft Defender TI와 통합됩니다. Defender TI 플러그 인을 사용하도록 설정하면 Copilot은 위협 활동 그룹, IOC(손상 지표), 도구 및 상황별 위협 인텔리전스에 대한 정보를 제공합니다. 프롬프트 및 프롬프트북을 사용하여 인시던트를 조사하거나, 위협 인텔리전스 정보로 헌팅 흐름을 보강하거나, 조직 또는 글로벌 위협 환경에 대한 더 많은 지식을 얻을 수 있습니다.

Copilot의 Microsoft Defender 위협 인텔리전스 기능은 기본으로 제공되는 프롬프트이지만, 지원되는 기능에 따라 사용자만의 프롬프트를 입력할 수도 있습니다. 다음 이미지는 지원되는 기능의 하위 집합만 보여줍니다.

독립 실행형 환경에서 실행할 수 있는 Defender TI 시스템 기능의 화면 캡처.

Copilot에는 다음을 포함하여 Defender TI의 정보를 제공하는 내장 프롬프트북도 포함되어 있습니다.

  • 취약성 영향 평가 - 해결 방법에 대한 단계를 포함하여 알려진 취약성에 대한 인텔리전스를 요약하는 보고서를 생성합니다.
  • 위협 행위자 프로필 - 일반적인 도구 및 전술에 대한 방어 제안을 포함하여 알려진 활동 그룹을 프로파일링하는 보고서를 생성합니다.

포함된 환경을 통해 Defender TI와 Copilot 통합을 경험할 수도 있습니다. Microsoft Defender 포털의 다음 페이지에서 위협 인텔리전스를 검색하는 Security Copilot의 기능을 경험할 수 있습니다.

  • 위협 분석
  • Intel 프로필
  • Intel 탐색기
  • Intel 프로젝트

이러한 각 페이지에 대해 사용 가능한 프롬프트 중 하나를 사용하거나 사용자 고유의 프롬프트를 입력할 수 있습니다.

Microsoft Defender 포털의 Defender TI에 포함된 Copilot 프롬프트의 화면 캡처입니다.