다음을 통해 공유

고급 헌팅의 Microsoft Copilot for Security

  • 아티클

적용 대상:

  • Microsoft Defender
  • Microsoft Defender XDR

고급 헌팅의 Copilot for Security

Microsoft Defender Microsoft Copilot for Security 고급 헌팅의 쿼리 도우미 기능이 함께 제공됩니다.

KQL에 익숙하지 않거나 아직 KQL에 대해 배우지 않은 위협 전문가 또는 보안 분석가가 자연어로 요청이나 질문을 할 수 있습니다(예: 사용자 admin123과 관련된 모든 경고를 보여 줘). 그런 다음 Copilot for Security 고급 헌팅 데이터 스키마를 사용하여 요청에 해당하는 KQL 쿼리를 생성합니다.

이 기능은 헌팅 쿼리를 처음부터 작성하는 데 걸리는 시간을 줄여 주므로 위협 헌터와 보안 분석가가 위협 헌팅 및 조사에 집중할 수 있습니다.

Copilot for Security 액세스 권한이 있는 사용자는 고급 헌팅에서 이 기능에 액세스할 수 있습니다.

참고

고급 헌팅 기능은 Microsoft Defender XDR 플러그 인을 통해 Copilot for Security 독립 실행형 환경에서도 사용할 수 있습니다. Copilot for Security 사전 설치된 플러그 인에 대해 자세히 알아보세요.

첫 번째 요청 사용해 보기

  1. Microsoft Defender XDR 탐색 모음에서 고급 헌팅 페이지를 엽니다. 고급 헌팅을 위한 Copilot for Security 측면 창이 오른쪽에 나타납니다.

    고급 헌팅의 Copilot 창 스크린샷

    쿼리 편집기의 맨 위에서 Copilot를 선택하여 Copilot 를 다시 열 수도 있습니다.

  2. Copilot 프롬프트 표시줄에서 실행하려는 위협 헌팅 쿼리를 요청하거나 를 누르 거나 를 입력합니다 .

    고급 헌팅을 위한 Copilot for Security 프롬프트 표시줄을 보여 주는 스크린샷

  3. Copilot는 텍스트 명령 또는 질문에서 KQL 쿼리를 생성합니다. Copilot가 생성되는 동안 생성 중지를 선택하여 쿼리 생성을 취소할 수 있습니다.

    응답을 생성하는 고급 헌팅의 Copilot for Security 스크린샷

  4. 생성된 쿼리를 검토합니다. 그런 다음 추가 및 실행을 선택하여 쿼리를 실행하도록 선택할 수 있습니다.

    쿼리 편집기 및 실행에 쿼리 추가를 보여 주는 Copilot 단추의 스크린샷

    생성된 쿼리는 쿼리 편집기에서 마지막 쿼리로 표시되고 자동으로 실행됩니다.

    추가 조정이 필요한 경우 편집기에 추가를 선택합니다.

    편집기 추가 옵션을 보여 주는 고급 헌팅의 Copilot for Security 스크린샷

    생성된 쿼리는 쿼리 편집기에 마지막 쿼리로 표시됩니다. 여기서 쿼리 편집기 위에 있는 일반 쿼리 실행을 사용하여 실행하기 전에 쿼리를 편집할 수 있습니다.

  5. 피드백 아이콘 피드백 아이콘 스크린샷 아이콘을 선택하고 확인, 대상 해제 또는 잠재적으로 유해를 선택하여 생성된 응답 대한 피드백을 제공할 수 있습니다.

피드백을 제공하는 것은 Copilot for Security 팀이 쿼리 도우미 유용한 KQL 쿼리를 생성하는 데 얼마나 잘 도움이 되었는지 알 수 있는 중요한 방법입니다. 쿼리에 개선이 필요한 부분, 생성된 KQL 쿼리를 실행하기 전에 조정해야 했던 사항을 설명하거나 최종적으로 사용한 KQL 쿼리를 공유해 주세요.

참고

통합 Microsoft Defender 포털에서 Copilot for Security Defender XDR 및 Microsoft Sentinel 테이블에 대한 고급 헌팅 쿼리를 생성하라는 메시지를 표시할 수 있습니다. 현재 모든 Microsoft Sentinel 테이블이 지원되는 것은 아니지만 향후 이러한 테이블에 대한 지원이 예상될 수 있습니다.

쿼리 세션

고급 헌팅의 Copilot 측면 창에서 질문을 하여 언제든지 첫 번째 세션을 시작할 수 있습니다. 세션에는 사용자 계정을 사용하여 제출한 요청이 포함됩니다. 측면 창을 닫거나 고급 헌팅 페이지를 새로 고쳐도 세션이 삭제되지 않습니다. 필요한 경우 생성된 쿼리에 계속 액세스할 수 있습니다.

채팅 거품형 아이콘(새 채팅)을 선택하여 현재 세션을 삭제합니다.

새 채팅 아이콘을 보여 주는 고급 헌팅의 Copilot for Security 스크린샷

설정 수정

Copilot 쪽 창에서 타원을 선택하여 고급 헌팅에서 생성된 쿼리를 자동으로 추가하고 실행할지 여부를 선택합니다.

설정 타원 아이콘을 보여 주는 고급 헌팅의 Copilot for Security 스크린샷

생성된 쿼리 실행 자동 설정을 선택 취소하면 생성된 쿼리를 자동으로 실행(추가 및 실행)하거나 추가 수정을 위해 생성된 쿼리를 쿼리 편집기(편집기에 추가)에 추가할 수 있습니다.