다음을 통해 공유

Microsoft Defender Microsoft Copilot와 인시던트 보고서 Create

  • 아티클

적용 대상:

  • Microsoft Defender XDR
  • SOC(통합 보안 운영 센터) 플랫폼 Microsoft Defender

Microsoft Defender 포털의 Microsoft Copilot for Security 보안 운영 팀이 인시던트 보고서를 효율적으로 작성할 수 있도록 지원합니다. 보안 팀은 Copilot for Security AI 기반 데이터 처리를 활용하여 Microsoft Defender 포털에서 단추를 클릭하여 인시던트 보고서를 즉시 만들 수 있습니다.

포괄적이고 명확한 인시던트 보고서는 보안 팀 및 보안 운영 관리를 위한 필수 참조입니다. 그러나 중요한 세부 정보가 포함된 포괄적인 보고서를 작성하는 것은 보안 운영 팀에게 시간이 많이 걸리는 작업일 수 있습니다. 여러 원본에서 인시던트 정보를 수집, 구성 및 요약하려면 정보가 풍부한 보고서를 만들려면 집중 및 자세한 분석이 필요합니다. Defender의 Copilot를 사용하면 이제 보안 팀이 포털 내에서 광범위한 인시던트 보고서를 즉시 만들 수 있습니다.

인시던트 요약은 인시던트에 대한 개요와 발생 방법을 제공하지만 인시던트 보고서는 Microsoft Sentinel 및 Defender XDR 사용할 수 있는 다양한 데이터 원본의 인시던트 정보를 통합합니다. Copilot에서 생성된 인시던트 보고서에는 모든 분석가 기반 단계 및 자동화된 작업, 인시던트 대응에 관련된 분석가 및 분석가의 의견도 포함됩니다. 보안 팀이 Microsoft Sentinel, Defender XDR 또는 둘 다를 사용하든 관계없이 모든 관련 인시던트 데이터가 생성된 인시던트 보고서에 추가됩니다.

Copilot는 구현된 자동 및 수동 작업과 인시던트에 게시된 분석가의 의견 및 메모를 기반으로 인시던트 보고서를 생성합니다. 권장 사항을 검토하고 따라 Copilot가 포괄적인 인시던트 보고서를 만드는지 확인할 수 있습니다.

Microsoft Defender 인시던트 보고서 생성 기능은 Copilot for Security 라이선스를 통해 사용할 수 있습니다. 이 기능은 Microsoft Defender XDR 플러그 인을 통해 Copilot for Security 독립 실행형 포털에서도 사용할 수 있습니다.

이 가이드에서는 인시던트 보고서의 데이터를 나열하고 Microsoft Defender 포털 내에서 인시던트 보고서 생성 기능에 액세스하는 방법에 대한 단계를 포함합니다. 또한 생성된 보고서에 대한 피드백을 제공하는 방법에 대한 정보도 포함됩니다.

인시던트 보고서 콘텐츠

Defender의 Copilot는 다음 정보를 포함하는 인시던트 보고서를 만듭니다.

  • 기본 인시던트 관리 작업의 타임스탬프는 다음과 같습니다.
    • 인시던트 생성 및 종료
    • 인시던트에서 캡처된 로그가 분석가 기반인지 자동화되었는지 여부에 관계없이 첫 번째 및 마지막 로그
  • 인시던트 대응에 관련된 분석가
  • Copilot가 요약한 분류에 대한 분석가의 이유를 포함한 인시던트 분류
  • 조사 및 수정 작업
  • 권장 사항, 열린 문제 또는 인시던트 로그의 분석가가 기록한 다음 단계와 같은 후속 작업

디바이스 격리, 사용자 비활성화 및 전자 메일 일시 삭제와 같은 작업이 인시던트 보고서에 포함됩니다. 인시던트 보고서에 포함된 작업의 전체 목록은 알림 센터를 참조하세요. 인시던트 보고서에는 실행된 Microsoft Sentinel 플레이북도 포함됩니다. 공용 API 원본 또는 사용자 지정 검색에서 제공되는 라이브 응답 명령 및 응답 작업은 아직 지원되지 않습니다.

수행된 모든 작업을 보려면 인시던트 해결을 권장합니다. 확인되지 않은 인시던트에는 인시던트 보고서의 작업이 부분적으로 반영됩니다.

문제 보고서 만들기

Defender에서 Copilot를 사용하여 인시던트 보고서를 만들려면 다음 단계를 수행합니다.

  1. 인시던트 페이지를 엽니다. 인시던트 페이지에서 추가 작업 줄임표(...)로 이동한 다음 인시던트 보고서 생성을 선택합니다. 또는 Copilot 측면 패널에 있는 보고서 아이콘을 선택할 수 있습니다.

    인시던트 페이지에서 생성된 인시던트 보고서 및 보고서 아이콘 단추를 강조 표시하는 스크린샷

  2. Copilot는 인시던트 보고서를 만듭니다. 다시 생성을 선택하여 보고서 만들기 취소 및 다시 시작을 선택하여 보고서 만들기를 중지할 수 있습니다. 또한 오류가 발생하면 보고서 만들기를 다시 시작할 수 있습니다.

  3. 인시던트 보고서 카드 Copilot 창에 표시됩니다. 생성된 보고서는 Microsoft Defender XDR 및 Microsoft Sentinel에서 사용할 수 있는 인시던트 정보에 따라 달라집니다. 포괄적인 인시 던트 보고서를 확인하려면 권장 사항을 참조하세요.

    카드 상위 절반을 보여 주는 인시던트 페이지의 인시던트 보고서 카드 스크린샷

    카드 아래쪽을 보여 주는 인시던트 페이지의 인시던트 보고서 카드 스크린샷

  4. 인시던트 보고서 카드 오른쪽 위에 있는 기타 작업 줄임표(...)를 선택합니다. 보고서를 복사하려면 클립보드에 복사를 선택하고 기본 설정 시스템에 보고서를 붙여넣거나, 활동 로그에 게시하여 Microsoft Defender 포털의 활동 로그에 보고서를 추가하거나, 인시던트를 PDF로 내보내시던트를 PDF로 내보내 인시던트를 PDF로 내보냅니다. 다시 생성을 선택하여 보고서 만들기를 다시 시작합니다. Copilot for Security 열기를 사용하여 결과를 보고 Copilot for Security 독립 실행형 포털에서 사용할 수 있는 다른 플러그 인에 계속 액세스할 수도 있습니다.

    인시던트 보고서 결과 카드 추가 작업의 스크린샷

  5. 생성된 인시던트 보고서를 검토합니다. 결과 맨 아래에 있는 피드백 아이콘을 선택하여 보고서에 대한 피드백을 제공할 수 있습니다. Defender 카드의 Copilot에 대한 피드백 아이콘 스크린샷

인시던트 를 PDF로 내보내기

인시던트 데이터를 PDF로 내보내 관련자와 쉽게 공유할 수 있는 보고서를 만들 수 있습니다. 내보낸 인시던트 데이터에는 인시던트 요약 및 인시던트 보고서와 같은 Copilot의 공격 스토리, 영향을 받은 자산, 관련 경고 및 AI 생성 콘텐츠와 같은 관련 정보가 포함됩니다. 이 기능을 통해 보안 팀은 팀 구성원 내에서 또는 다른 이해 관계자와 인시던트 후 토론을 위해 더 많은 인시던트 정보를 신속하게 내보낼 수 있습니다.

인시던트 데이터를 PDF로 내보내기 단계를 따라 PDF를 생성할 수 있습니다.

인시던트 보고서 만들기에 대한 권장 사항

Copilot가 포괄적이고 완전한 인시던트 보고서를 생성하도록 하기 위해 고려해야 할 몇 가지 권장 사항은 다음과 같습니다.

  • 인시던트 보고서를 생성하기 전에 인시던트 분류 및 resolve.
  • Microsoft Sentinel 활동 로그 또는 Microsoft Defender XDR 인시던트 활동 로그에 메모를 작성하고 저장하여 인시던트 보고서에 주석을 포함해야 합니다.
  • 포괄적이고 명확한 언어를 사용하여 메모를 작성합니다. 심층적이고 명확한 주석은 응답 작업에 대한 더 나은 컨텍스트를 제공합니다. 주석 필드에 액세스하는 방법을 알아보려면 다음 단계를 참조하세요.
  • ServiceNow 사용자의 경우 Microsoft Sentinel 및 ServiceNow 양방향 동기화를 사용하도록 설정 하여 보다 강력한 인시던트 데이터를 가져옵니다.
  • 생성된 인시던트 보고서를 복사하고 Microsoft Defender 포털의 활동 로그에 게시하여 인시던트 보고서가 인시던트 페이지에 저장되도록 합니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.