인시던트 및 관련 의심스러운 엔터티 조사
인시던트 중에 보안 분석가는 일반적으로 경고를 조사하고 인시던트와 관련된 관련 정보를 수집하는 임무를 맡게 됩니다. 이들은 근본 원인 분석을 수행하고 다양한 출처의 정보를 상호 연결하여 조직에 미치는 잠재적 영향을 파악합니다.
시나리오에 따라 분석가는 로그를 분석하고, 맬웨어를 검사하고, 파일 또는 스크립트에 대한 리버스 엔지니어링을 수행하고, 관찰된 URL을 조사해야 할 수 있습니다.
조사의 필수 구성 요소에는 어떤 수정 단계를 취해야 하는지 이해하고 중요한 발견 사항을 효과적으로 전달하여 관련자들이 인시던트의 현재 상태에 대한 정보를 알 수 있도록 하는 것이 포함됩니다.
이 예에서는 Copilot for Security를 사용하여 경고를 통해 상황 정보를 수집하고, 의심스러운 스크립트 및 URL을 분석하고, 일련의 수정 단계와 함께 평가를 생성하여 포괄적인 인시던트 조사를 수행합니다.
단계
Microsoft Defender XDR에서 조사를 시작합니다.
Copilot for Security는 Microsoft Defender XDR에 통합되어 있습니다. 인시던트 페이지에서 Copilot for Security 단추를 선택하여 인시던트를 요약하고 공격이 시작된 시간 및 날짜, 공격을 시작한 엔터티 또는 자산, 공격에 관련된 자산과 같은 세부 정보를 가져옵니다.
의심스러운 스크립트를 분석합니다.
Microsoft Defender XDR 의심스러운 스크립트가 실행되면 플래그를 지정합니다. Copilot for Security를 사용하여 의심스러운 스크립트가 수행하는 작업에 대한 설명을 확인하세요.
참고
스크립트 분석 기능을 지속적으로 개발하고 있습니다. PowerShell, batch, bash 이외의 언어로 된 스크립트 분석을 평가 중입니다.
단추를 클릭하면 스크립트의 전체 요약과 함께 설명이 표시됩니다.
자연어 프롬프트 및 더 많은 플러그 인을 사용하여 Copilot for Security 조사를 확장합니다.
Copilot for Security에서 열기를 선택하여 Copilot for Security의 독립 실행형 환경에서 조사를 계속합니다.
독립 실행형 환경을 사용하면 자연어 프롬프트를 사용하여 조사를 확장할 수 있습니다.
인시던트에 대한 보다 포괄적인 이해를 얻으려면 Copilot for Security 사용하여 명령줄 스크립트에 언급된 의심스러운 인프라에 대한 자세한 정보를 수집합니다.
명령줄 스크립트에 언급된 인프라에 대한 자세한 내용을 확인하세요.
사용된 프롬프트:
스크립트에 있는 지표의 평판에 대해서 알려 줄래? 악의적인가요? 그렇다면, 왜?
응답:
응답은 IP가 알려진 위협 조직과 연관되어 있음을 나타냅니다. 이 응답을 나중에 사용할 수 있도록 중요한 정보로 고정할 수 있습니다.
Copilot for Security를 사용하여 인시던트에 대한 평가와 입증 증거 및 권장 사항 모음을 제공합니다.
사용된 프롬프트:
다음 정보를 사용해 보고서를 작성해 줘. 인시던트가 진양성인지 가양성인지 지정해 줘. 신뢰 수준과 함께 선택에 대한 입증 증거를 제공해 줘. 조사 결과를 요약하고 일련의 권장 사항으로 마무리해 줘.
응답:
팁
향후에 참조할 수 있도록 응답을 내보낼 수 있습니다. 또한 전체 세션을 다른 분석가와 공유하는 옵션도 있습니다. 인시던트 검토 중인 다른 팀 구성원은 핀 보드를 활용하여 조사 단계에 대한 전체 요약을 얻을 수 있으므로 귀중한 시간을 절약할 수 있습니다.
결론
이 사용 사례에서 Copilot for Security 인시던트에 대한 철저한 조사를 수행하는 데 도움을 주었습니다. 분석가는 자연어를 사용하여 의심스러운 스크립트가 수행하는 작업에 대한 설명을 보고 의심스러운 IP 주소의 평판을 확인할 수 있습니다.
또한 Copilot for Security 요약 보고서를 통해 평가를 생성하고 인시던트를 포함하기 위한 권장 사항 집합을 제공했으며, 이는 고급 기술에도 사용할 수 있습니다.