Microsoft Defender Microsoft Copilot의 단계별 응답을 사용하여 인시던트 심사 및 조사
적용 대상:
- Microsoft Defender XDR
- SOC(통합 보안 운영 센터) 플랫폼 Microsoft Defender
Microsoft Defender 포털의 Microsoft Copilot for Security 단계별 대응으로 인시던트 즉시 해결에서 인시던트 대응 팀을 지원합니다. Defender의 Copilot는 AI 및 기계 학습 기능을 사용하여 인시던트를 컨텍스트화하고 이전 조사에서 학습하여 적절한 대응 작업을 생성합니다.
Microsoft Defender 포털에서 인시던트에 대응하려면 공격을 중지하기 위해 포털에서 사용할 수 있는 작업을 숙지해야 하는 경우가 많습니다. 또한 새 인시던트 대응 담당자의 경우 인시던트 대응의 시작점과 그 방법이 다를 수 있습니다. Defender의 Copilot의 단계별 대응 기능을 사용하면 모든 수준의 인시던트 대응 팀이 resolve 인시던트에 대한 응답 작업을 안심하고 신속하게 적용할 수 있습니다.
단계별 응답은 Copilot for Security 라이선스를 통해 Microsoft Defender 포털에서 사용할 수 있습니다. 단계별 응답은 Defender XDR 플러그 인을 통해 Copilot for Security 독립 실행형 환경에서도 사용할 수 있습니다.
이 가이드에서는 응답에 대한 피드백 제공 정보를 포함하여 단계별 응답 기능에 액세스하는 방법을 간략하게 설명합니다.
resolve 인시던트에 단계별 응답 적용
단계별 대응은 다음 범주의 작업을 권장합니다.
- 심사 - 인시던트를 정보성, 진양성 또는 가양성으로 분류하는 권장 사항을 포함합니다.
- 저지 - 인시던트를 저지하는 권장 조치를 포함합니다.
- 조사 - 추가 조사를 위한 권장 조치를 포함합니다.
- 수정 - 인시던트에 관련된 특정 엔터티에 적용할 권장 대응 작업을 포함합니다.
각 카드 작업을 적용해야 하는 엔터티와 작업을 권장하는 이유를 포함하여 권장 작업에 대한 정보를 포함합니다. 또한 이 카드는 공격 중단 또는 자동화된 조사 대응과 같은 자동화된 조사를 통해 권장 조치를 수행한 경우를 강조 합니다.
단계별 응답 카드는 각 카드 사용 가능한 상태 따라 정렬할 수 있습니다. 단계별 응답을 볼 때 상태를 클릭하고 보려는 적절한 상태 선택하여 특정 상태 선택할 수 있습니다. 상태 관계없이 모든 단계별 응답 카드는 기본적으로 표시됩니다.
단계별 대응을 사용하려면 다음 단계를 수행합니다.
인시던트 페이지를 엽니다. Copilot는 인시던트 페이지를 열 때 단계별 응답을 자동으로 생성합니다. 인시던트 페이지의 오른쪽에 Copilot 창이 나타나며 안내 응답 카드가 표시됩니다.
권장 사항을 적용하기 전에 각 카드 검토합니다. 응답 카드 위에 있는 추가 작업 줄임표(...)를 선택하여 각 권장 사항에 사용할 수 있는 옵션을 확인합니다. 다음은 몇 가지 예입니다.
작업을 적용하려면 각 카드 원하는 작업을 선택합니다. 각 카드 대한 단계별 대응 작업은 인시던트 유형 및 관련된 특정 엔터티에 맞게 조정됩니다.
각 응답 카드 피드백을 제공하여 Copilot의 향후 응답을 지속적으로 향상시킬 수 있습니다. 피드백을 제공하려면 피드백 아이콘 각 카드 오른쪽 아래에 을 선택합니다.
참고
회색으로 표시된 작업 단추는 이러한 작업이 사용자의 권한에 의해 제한됨을 의미합니다. 자세한 내용은 통합 RBAC(역할 기반 액세스) 권한 페이지를 참조하세요.
Defender의 Copilot는 분석가가 추가 인사이트를 사용하여 응답 작업에 대한 더 많은 컨텍스트를 얻을 수 있도록 하여 인시던트 대응 팀을 지원합니다. 수정 대응의 경우 인시던트 대응 팀은 유사한 인시던트 보기 또는 유사한 전자 메일 보기와 같은 옵션을 사용하여 추가 정보를 볼 수 있습니다.
조직 내에 현재 인시던트와 유사한 다른 인시던트 발생 시 유사한 인시던트 보기 작업을 사용할 수 있습니다. 유사한 인시던트 탭에는 검토할 수 있는 유사한 인시던트가 나열됩니다. Microsoft Defender 기계 학습을 통해 organization 내에서 유사한 인시던트가 자동으로 식별됩니다. 인시던트 대응 팀은 이 유사한 인시던트의 정보를 사용하여 인시던트를 분류하고 유사한 인시던트에서 수행된 작업을 추가로 검토할 수 있습니다.
피싱 인시던트와 관련된 유사한 전자 메일 보기 작업을 선택하면 고급 헌팅 페이지로 이동하게 됩니다. 여기서 조직 내 유사한 전자 메일을 나열하는 KQL 쿼리가 자동으로 생성됩니다. 인시던트와 관련된 이 자동 쿼리 생성은 인시던트 대응 팀이 인시던트와 관련이 있을 수 있는 다른 전자 메일을 추가로 조사하는 데 도움이 됩니다. 쿼리를 검토하고 필요에 따라 수정할 수 있습니다.
참고 항목
- 인시던트 요약
- 파일 분석
- 스크립트 분석 실행
- 문제 보고서 만들기
- KQL 쿼리 생성
- Microsoft Copilot for Security 시작하기
- 다른 Copilot for Security 포함된 환경에 대해 알아보기
- Copilot for Security 사전 설치된 플러그 인에 대해 자세히 알아보기
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기