다음을 통해 공유

Microsoft Defender Microsoft Copilot의 단계별 응답을 사용하여 인시던트 심사 및 조사

  • 아티클

적용 대상:

  • Microsoft Defender XDR
  • SOC(통합 보안 운영 센터) 플랫폼 Microsoft Defender

Microsoft Defender 포털의 Microsoft Copilot for Security 단계별 대응으로 인시던트 즉시 해결에서 인시던트 대응 팀을 지원합니다. Defender의 Copilot는 AI 및 기계 학습 기능을 사용하여 인시던트를 컨텍스트화하고 이전 조사에서 학습하여 적절한 대응 작업을 생성합니다.

Microsoft Defender 포털에서 인시던트에 대응하려면 공격을 중지하기 위해 포털에서 사용할 수 있는 작업을 숙지해야 하는 경우가 많습니다. 또한 새 인시던트 대응 담당자의 경우 인시던트 대응의 시작점과 그 방법이 다를 수 있습니다. Defender의 Copilot의 단계별 대응 기능을 사용하면 모든 수준의 인시던트 대응 팀이 resolve 인시던트에 대한 응답 작업을 안심하고 신속하게 적용할 수 있습니다.

단계별 응답은 Copilot for Security 라이선스를 통해 Microsoft Defender 포털에서 사용할 수 있습니다. 단계별 응답은 Defender XDR 플러그 인을 통해 Copilot for Security 독립 실행형 환경에서도 사용할 수 있습니다.

이 가이드에서는 응답에 대한 피드백 제공 정보를 포함하여 단계별 응답 기능에 액세스하는 방법을 간략하게 설명합니다.

resolve 인시던트에 단계별 응답 적용

단계별 대응은 다음 범주의 작업을 권장합니다.

  • 심사 - 인시던트를 정보성, 진양성 또는 가양성으로 분류하는 권장 사항을 포함합니다.
  • 저지 - 인시던트를 저지하는 권장 조치를 포함합니다.
  • 조사 - 추가 조사를 위한 권장 조치를 포함합니다.
  • 수정 - 인시던트에 관련된 특정 엔터티에 적용할 권장 대응 작업을 포함합니다.

각 카드 작업을 적용해야 하는 엔터티와 작업을 권장하는 이유를 포함하여 권장 작업에 대한 정보를 포함합니다. 또한 이 카드는 공격 중단 또는 자동화된 조사 대응과 같은 자동화된 조사를 통해 권장 조치를 수행한 경우를 강조 합니다.

단계별 응답 카드는 각 카드 사용 가능한 상태 따라 정렬할 수 있습니다. 단계별 응답을 볼 때 상태를 클릭하고 보려는 적절한 상태 선택하여 특정 상태 선택할 수 있습니다. 상태 관계없이 모든 단계별 응답 카드는 기본적으로 표시됩니다.

Microsoft Defender 인시던트 페이지의 Copilot 창에서 응답 상태 강조 표시하는 스크린샷

단계별 대응을 사용하려면 다음 단계를 수행합니다.

  1. 인시던트 페이지를 엽니다. Copilot는 인시던트 페이지를 열 때 단계별 응답을 자동으로 생성합니다. 인시던트 페이지의 오른쪽에 Copilot 창이 나타나며 안내 응답 카드가 표시됩니다.

    Microsoft Defender 인시던트 페이지에서 단계별 응답이 있는 Copilot 창을 강조 표시하는 스크린샷

  2. 권장 사항을 적용하기 전에 각 카드 검토합니다. 응답 카드 위에 있는 추가 작업 줄임표(...)를 선택하여 각 권장 사항에 사용할 수 있는 옵션을 확인합니다. 다음은 몇 가지 예입니다.

    Copilot 측면 패널의 단계별 응답 카드 사용자가 사용할 수 있는 옵션을 강조 표시하는 스크린샷

    Microsoft Defender XDR Copilot 창의 자동화 응답 카드 사용자가 사용할 수 있는 옵션을 강조 표시하는 스크린샷

  3. 작업을 적용하려면 각 카드 원하는 작업을 선택합니다. 각 카드 대한 단계별 대응 작업은 인시던트 유형 및 관련된 특정 엔터티에 맞게 조정됩니다.

    Microsoft Defender Copilot 창의 안내 응답 카드 스크린샷

  4. 각 응답 카드 피드백을 제공하여 Copilot의 향후 응답을 지속적으로 향상시킬 수 있습니다. 피드백을 제공하려면 피드백 아이콘 각 카드 오른쪽 아래에 있는 Defender 카드의 Copilot에 대한 피드백 아이콘 스크린샷을 선택합니다.

참고

회색으로 표시된 작업 단추는 이러한 작업이 사용자의 권한에 의해 제한됨을 의미합니다. 자세한 내용은 통합 RBAC(역할 기반 액세스) 권한 페이지를 참조하세요.

Defender의 Copilot는 분석가가 추가 인사이트를 사용하여 응답 작업에 대한 더 많은 컨텍스트를 얻을 수 있도록 하여 인시던트 대응 팀을 지원합니다. 수정 대응의 경우 인시던트 대응 팀은 유사한 인시던트 보기 또는 유사한 전자 메일 보기와 같은 옵션을 사용하여 추가 정보를 볼 수 있습니다.

조직 내에 현재 인시던트와 유사한 다른 인시던트 발생 시 유사한 인시던트 보기 작업을 사용할 수 있습니다. 유사한 인시던트 탭에는 검토할 수 있는 유사한 인시던트가 나열됩니다. Microsoft Defender 기계 학습을 통해 organization 내에서 유사한 인시던트가 자동으로 식별됩니다. 인시던트 대응 팀은 이 유사한 인시던트의 정보를 사용하여 인시던트를 분류하고 유사한 인시던트에서 수행된 작업을 추가로 검토할 수 있습니다.

피싱 인시던트와 관련된 유사한 전자 메일 보기 작업을 선택하면 고급 헌팅 페이지로 이동하게 됩니다. 여기서 조직 내 유사한 전자 메일을 나열하는 KQL 쿼리가 자동으로 생성됩니다. 인시던트와 관련된 이 자동 쿼리 생성은 인시던트 대응 팀이 인시던트와 관련이 있을 수 있는 다른 전자 메일을 추가로 조사하는 데 도움이 됩니다. 쿼리를 검토하고 필요에 따라 수정할 수 있습니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.