Microsoft Defender XDR의 Copilot 설명

• 9분

Microsoft Security Copilot이 Microsoft Defender XDR에 포함되어 보안 팀이 인시던트를 빠르고 효율적으로 조사하고 대응할 수 있도록 지원합니다. Microsoft Defender XDR의 Microsoft Copilot은 다음 기능을 지원합니다.

• 인시던트 요약
• 단계별 대응
• 스크립트 분석
• 자연어 KQL 쿼리
• 인시던트 보고서
• 파일 분석
• 디바이스 요약

프롬프트 응답에 대한 피드백을 제공하고 독립 실행형 환경으로 원활하게 이동하는 기능을 포함하여 이러한 모든 기능에 걸쳐 공통되는 몇 가지 옵션도 있습니다.

소개 단원에 설명한 대로, 포함된 환경에서는 Copilot이 제품별 기능을 직접 호출할 수 있어 처리 효율성이 향상됩니다. 하지만 이러한 Microsoft Security Copilot 기능에 대한 액세스를 보장하기 위해서는 Microsoft Defender XDR 플러그 인을 사용하도록 설정해야 하며 이 작업은 독립 실행형 환경을 통해 수행됩니다. 자세한 내용은 Microsoft Security Copilot 독립 실행형 환경에서 사용할 수 있는 기능 설명을 참조하세요.

인시던트 요약

인시던트를 즉시 이해하기 위해 Microsoft Defender XDR의 Microsoft Copilot을 사용하여 인시던트를 요약할 수 있습니다. Copilot은 공격에서 발생한 일, 관련된 자산, 공격 타임라인 등을 이해하기 위한 필수 정보를 포함한 공격 개요를 작성합니다. 사용자가 인시던트 페이지로 이동할 때 Copilot이 자동으로 요약을 만듭니다.

최대 100개의 경고를 포함하는 인시던트를 하나의 인시던트 요약으로 요약할 수 있습니다. 데이터의 가용성에 따라 인시던트 요약에는 다음이 포함됩니다.

• 공격이 시작된 시간과 날짜입니다.
• 공격이 시작된 엔터티 또는 자산입니다.
• 공격이 어떻게 벌어지는지에 대한 타임라인 요약입니다.
• 공격에 관련된 자산입니다.
• IOC(손상 지표)입니다.
• 관련된 위협 행위자의 이름입니다.

단계별 대응

Microsoft Defender XDR의 Copilot은 AI 및 기계 학습 기능을 사용하여 인시던트를 컨텍스트화하고, 이전 조사로부터 학습하고, 단계별 대응으로 표시되는 적절한 대응 작업을 생성합니다. Copilot의 단계별 대응 기능을 통해 모든 수준의 인시던트 대응 팀은 대응 작업을 신속하고 자신 있게 수행하여 인시던트를 쉽게 해결할 수 있습니다.

단계별 대응은 다음 범주의 작업을 권장합니다.

• 심사 - 인시던트를 정보성, 진양성 또는 가양성으로 분류하는 권장 사항을 포함합니다.
• 저지 - 인시던트를 저지하는 권장 조치를 포함합니다.
• 조사 - 추가 조사를 위한 권장 조치를 포함합니다.
• 수정 - 인시던트에 관련된 특정 엔터티에 적용할 권장 대응 작업을 포함합니다.

각 카드에는 권장 이유 및 유사한 인시던트 등을 비롯한 권장 작업에 관한 정보가 포함되어 있습니다. 예를 들어 유사한 인시던트 보기 작업은 조직에 현재 인시던트와 유사한 다른 인시던트가 있을 때 사용할 수 있습니다. 인시던트 대응 팀은 암호 재설정과 같은 수정 작업에 대한 사용자 정보를 볼 수도 있습니다.

모든 인시던트/경고가 단계별 대응을 제공하는 것은 아닙니다. 단계별 대응은 피싱, 비즈니스 전자 메일 손상, 랜섬웨어와 같은 인시던트 유형에서 사용할 수 있습니다.

스크립트 및 코드 분석

랜섬웨어와 같은 가장 복잡하고 정교한 공격은 스크립트 및 PowerShell 사용을 비롯한 다양한 방법을 통해 탐지를 피합니다. 또한 이러한 스크립트는 종종 난독화되어 탐지 및 분석의 복잡성을 가중시킵니다. 보안 운영 팀은 스크립트와 코드를 신속하게 분석하여 해당 기능을 이해하고 적절한 완화 조치를 적용하여 네트워크 내에서 더 이상 공격이 진행되지 않도록 해야 합니다.

Microsoft Defender XDR의 Copilot 스크립트 분석 기능은 보안 팀에 외부 도구를 사용하지 않고 스크립트와 코드를 검사할 수 있는 추가 용량을 제공합니다. 또한 이 기능은 분석의 복잡성을 줄이고, 문제를 최소화하며, 보안 팀이 스크립트를 악성인지 무해한 것인지 신속하게 평가하고 식별할 수 있도록 합니다.

스크립트 또는 코드로 구성된 타임라인 항목에 대해 인시던트 내의 경고 타임라인에서 스크립트 분석 기능에 액세스할 수 있습니다. 다음 이미지에서 타임라인은 powershell.exe 항목을 표시합니다.

Copilot은 스크립트를 분석하고 그 결과를 스크립트 분석 카드에 표시합니다. 사용자는 코드 표시를 선택하여 분석과 관련된 특정 코드 줄을 볼 수 있습니다. 코드를 숨기려면 사용자가 코드 숨기기를 선택하기만 하면 합니다.

KQL 쿼리 생성

Microsoft Defender XDR의 Copilot에는 고급 헌팅의 쿼리 도우미 기능이 함께 제공됩니다.

KQL에 아직 익숙하지 않거나 학습하지 않은 위협 헌터나 보안 분석가는 자연어로 요청하거나 질문할 수 있습니다(예: 사용자 admin123과 관련된 모든 경고 가져오기). 그러면 Copilot이 고급 헌팅 데이터 스키마를 사용하여 요청에 상응하는 KQL 쿼리를 생성합니다.

이 기능은 헌팅 쿼리를 처음부터 작성하는 데 걸리는 시간을 줄여 주므로 위협 헌터와 보안 분석가가 위협 헌팅 및 조사에 집중할 수 있습니다.

자연어로 KQL 쿼리 도우미에 액세스하려면 Copilot에 액세스할 수 있는 사용자가 Defender XDR 포털의 왼쪽 탐색 창에서 고급 헌팅을 선택합니다.

사용자는 프롬프트 표시줄을 사용하여 "지난 10분 동안 로그인한 모든 디바이스를 알려줘"와 같은 자연어를 사용하여 위협 헌팅 쿼리를 요청할 수 있습니다.

그런 다음, 추가 및 실행을 선택하여 쿼리를 실행하도록 선택할 수 있습니다. 그러면 생성된 쿼리는 쿼리 편집기에서 마지막 쿼리로 표시됩니다. 추가로 조정하려면 편집기에 추가를 선택합니다.

생성된 쿼리를 실행하는 옵션은 설정 아이콘을 통해 자동으로 설정할 수도 있습니다.

인시던트 보고서 만들기

포괄적이고 명확한 인시던트 보고서는 보안팀과 보안 운영 관리에 필수적인 참고 자료입니다. 하지만 중요한 세부 정보를 포함하는 포괄적인 보고서를 작성하는 작업은 여러 원본에서 인시던트 정보를 수집, 구성, 요약해야 하므로 보안 운영 팀에 시간이 오래 걸릴 수 있습니다. 이제 보안 팀은 포털 내에서 포괄적인 인시던트 보고서를 즉시 만들 수 있습니다.

Copilot의 AI 기반 데이터 처리를 활용함으로써 보안 팀은 Microsoft Defender XDR에서 단추를 클릭하기만 하면 인시던트 보고서를 즉시 만들 수 있습니다.

인시던트 요약은 인시던트에 대한 개요와 발생 양상을 제공하지만, 인시던트 보고서는 Microsoft Sentinel과 Microsoft Defender XDR에서 제공하는 다양한 데이터 원본의 인시던트 정보를 통합합니다. 또한 인시던트 보고서에는 모든 분석가 기반 단계 및 자동화된 작업, 대응에 관련된 분석가, 분석가의 의견이 포함됩니다.

Copilot은 다음 정보를 포함하는 인시던트 보고서를 만듭니다.

• 다음을 포함한 주요 인시던트 관리 작업의 타임스탬프:
  • 인시던트 생성 및 폐쇄
  • 첫 번째 및 마지막 로그(로그가 분석가 기반인지 자동화되었는지에 관계없이 인시던트에서 캡처됨)
• 인시던트 대응에 관련된 분석가.
• 인시던트 평가 및 분류 방법에 대한 분석가의 의견을 포함한 인시던트 분류.
• 분석가가 적용하고 인시던트 로그에 기록된 조사 작업
• 다음을 포함한 수행된 수정 작업:
  • 분석가가 적용하고 인시던트 로그에 기록된 수동 작업
  • 실행된 Microsoft Sentinel 플레이북 및 적용된 Microsoft Defender XDR 작업을 포함하여 시스템에서 적용한 자동화된 작업
• 권장 사항, 미해결 문제 또는 분석가가 인시던트 로그에서 기록한 다음 단계와 같은 후속 작업.

인시던트 보고서를 만들려면 사용자는 인시던트 페이지의 오른쪽 위 모서리 또는 Copilot 창의 아이콘에서 인시던트 보고서 생성을 선택합니다.

생성된 보고서는 Microsoft Defender XDR 및 Microsoft Sentinel에서 사용할 수 있는 인시던트 정보에 따라 달라집니다. 인시던트 보고서 카드에서 줄임표를 선택하면 보고서를 클립보드에 복사하거나, 활동 로그에 게시하거나, 보고서를 다시 생성하거나, Copilot 독립 실행형 환경에서 열기를 선택할 수 있습니다.

파일 분석

정교한 공격에서는 종종 탐지를 피하려고 합법적인 파일이나 시스템 파일을 모방한 파일을 사용합니다. 보안 팀은 Microsoft Defender XDR의 Copilot으로 AI 기반 파일 분석 기능을 통해 악의적이고 의심스러운 파일을 신속하게 식별할 수 있습니다.

특정 파일의 세부 프로필 페이지에 액세스하는 여러 가지 방법이 있습니다. 예를 들어 검색 기능을 사용하거나 인시던트 증거 및 응답 탭에서 파일을 선택하거나 인시던트 그래프를 사용할 수 있습니다.

이 예제에서는 영향을 받은 파일이 있는 인시던트의 인시던트 그래프를 통해 파일로 이동합니다. 인시던트 그래프는 공격의 전체 범위, 시간이 지남에 따라 공격이 네트워크를 통해 확산된 방식, 공격 시작 위치, 공격자의 침해 정도를 보여줍니다.

인시던트 그래프에서 파일을 선택하면 파일을 볼 수 있는 옵션이 표시됩니다. 보기 파일을 선택하면 화면 오른쪽에 영향을 받은 파일이 나열된 패널이 열립니다. 파일을 선택하면 파일 세부 정보에 대한 개요와 파일 분석 옵션이 표시됩니다. 분석을 선택하면 Copilot 파일 분석이 열립니다.

디바이스 및 ID 요약

보안 팀은 Defender의 Copilot 디바이스 요약 기능을 사용하여 디바이스의 보안 상태, 취약한 소프트웨어 정보 및 비정상적 동작을 가져올 수 있습니다. 보안 분석가는 디바이스의 요약을 활용하여 인시던트와 경고에 대한 조사 속도를 높일 수 있습니다.

디바이스 요약에 액세스하는 방법에는 여러 가지가 있습니다. 이 예제에서는 인시던트 자산 페이지를 통해 디바이스 요약으로 이동합니다. 인시던트의 자산 탭을 선택하면 모든 자산이 표시됩니다. 왼쪽 탐색 패널에서 디바이스를 선택한 다음, 특정 디바이스 이름을 선택합니다. 오른쪽에 열리는 개요 페이지에 Copilot을 선택하는 옵션이 있습니다.

마찬가지로 Microsoft Defender XDR의 Copilot은 ID를 요약할 수 있습니다.

주요 기능의 공통 기능

Microsoft Defender XDR용 Copilot의 기능에는 공통적인 몇 가지 옵션이 있습니다.

피드백 제공

독립 실행형 환경과 마찬가지로 포함된 환경도 사용자에게 AI가 생성한 응답의 정확도에 대한 피드백을 제공하는 메커니즘을 제공합니다. AI에서 생성된 콘텐츠의 경우 콘텐츠 창의 오른쪽 아래에 있는 피드백 프롬프트를 선택한 다음 사용 가능한 옵션 중에서 선택할 수 있습니다.

독립 실행형 환경으로 이동

Microsoft Defender XDR을 사용하는 분석가는 Defender XDR에서 많은 시간을 보내기 때문에 포함된 환경은 보안 조사를 시작하기에 좋은 장소입니다. 알게 된 내용에 따라 더 심층적인 조사가 필요하다고 판단할 수 있습니다. 이 시나리오에서는 독립 실행형 환경으로 쉽게 전환하여 사용자의 역할에 맞는 모든 Copilot 기능을 제공하는 더욱 상세한 교차 제품 조사를 수행할 수 있습니다.

포함된 환경을 통해 생성된 콘텐츠를 독립 실행형 환경으로 쉽게 전환할 수 있습니다. 독립 실행형 환경으로 이동하려면 생성된 콘텐츠 창 내의 줄임표를 선택한 다음 보안 Copilot에서 열기를 선택합니다.