다음을 통해 공유

Microsoft Sentinel과 함께하는 Security Copilot

  • 적용 대상: Microsoft Sentinel with Defender XDR in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal, Security Copilot

Microsoft Security Copilot 머신 속도와 규모로 조직을 방어하는 데 도움이 되는 플랫폼입니다. Microsoft Sentinel 방대한 보안 데이터는 인시던트를 분석하고 헌팅 쿼리를 생성하는 데 도움이 되는 Copilot 위한 훌륭한 원본을 제공합니다.

사용 가능한 다른 Security Copilot 원본과 함께 Microsoft Sentinel 인시던트 및 데이터는 조직에 대한 위협 및 해당 컨텍스트에 대한 광범위한 가시성을 제공합니다.

시작하기 전에 다음 사항에 유의합니다.

Security Copilot 새로운 경우 다음 문서를 읽어 익숙해져야 합니다.

Microsoft Sentinel과 Security Copilot 통합

이 통합은 주로 채팅과 유사한 환경에서 상호 작용하여 인시던트를 요약하고 보안 데이터에 대한 다른 답변을 얻는 독립 실행형 환경을 https://securitycopilot.microsoft.com지원합니다. 자세한 내용은 Microsoft Security Copilot 환경 참조하세요.

주요 특징

Microsoft Sentinel 데이터는 다음과 같이 Defender 포털의 Security Copilot 통합됩니다.

  • Microsoft Defender XDR도 함께 사용하는 경우, Microsoft Defender XDR의 Copilot은 Microsoft Sentinel과 통합된 통합 인시던트의 이점을 활용할 수 있습니다.
  • 독립 실행형 환경에서 Microsoft Sentinel Security Copilot 통합하기 위해 다음 플러그 인을 제공합니다.
    Microsoft Sentinel(미리 보기)
    Microsoft Sentinel(미리 보기)용 자연어를 KQL로 변환.

Microsoft Sentinel에서 Security Copilot 통합 활성화

Microsoft Sentinel Security Copilot 통합을 최대화하려면 다음을 수행합니다.

  • Security Copilot 대한 기본 Microsoft Sentinel 작업 영역 구성
  • Microsoft Sentinel 작업 영역을 Microsoft Defender XDR에 연결하십시오.

기본 Microsoft Sentinel 작업 영역 구성

Microsoft Sentinel 작업 영역을 기본값으로 구성하여 프롬프트 정확도를 높입니다.

  1. https://securitycopilot.microsoft.com/에서 Security Copilot로 이동하세요.

  2. 프롬프트 바에서 원본을 엽니다.

  3. 플러그 인 관리 페이지에서 토글을 켜기로 설정합니다.

  4. Microsoft Sentinel(미리 보기) 플러그 인에서 기어 아이콘을 선택합니다.

    Microsoft Sentinel 플러그인의 개인 설정 선택 기어 아이콘 스크린샷입니다.

  5. 작업 영역 기본값 이름을 구성합니다.

    Microsoft Sentinel 플러그인의 개인 설정 옵션에 대한 스크린샷

구성된 기본값과 일치하지 않는 경우, 프롬프트에서 작업 영역을 지정합니다.

예: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Microsoft Sentinel을 Defender의 Copilot과 통합

포함된 Security Copilot 환경을 위해 Microsoft Defender 포털을 Microsoft Sentinel 데이터와 함께 사용합니다. Microsoft Sentinel 고유한 데이터 원본이 Microsoft Defender XDR 통합 인시던트에 전달되므로 Defender Copilot 기능을 최대화할 수 있습니다.

예시:

Defender 포털에서 Copilot이 포함된 경험과 함께 Microsoft Sentinel 인시던트 스크린샷

자세한 내용은 다음 리소스를 참조하세요.

고급 헌팅에서 Microsoft Sentinel과 Security Copilot 통합

Microsoft Sentinel용 자연어-KQL 변환 플러그인(미리 보기)을 활용하면 Microsoft Sentinel 데이터 기반의 KQL 헌팅 쿼리를 생성하고 실행할 수 있습니다. 이 기능은 독립 실행형 환경 및 Microsoft Defender 포털의 고급 헌팅 섹션에서 사용할 수 있습니다.

참고 사항

통합 Microsoft Defender 포털에서 Security Copilot Defender XDR 테이블과 Microsoft Sentinel 테이블에 대한 고급 헌팅 쿼리를 생성하라는 메시지를 표시할 수 있습니다. 현재 모든 Microsoft Sentinel 테이블이 지원되는 것은 아닙니다.

자세한 내용은 고급 헌팅에서의 보안 Copilot을 참조하십시오.

샘플 Microsoft Sentinel 프롬프트

Microsoft Sentinel 인시던트 조사 프롬프트북을 효과적인 프롬프트를 만들기 위한 시작점으로 참고하십시오. 이 프롬프트북은 관련된 경고, 평판 점수, 사용자 및 장치와 함께 특정 인시던트에 대한 보고서를 제공합니다.

지침 프롬프트
Copilot이 개체 ID로 응답하는 대신 사람이 읽을 수 있는 정보를 제공하도록 유도합니다. Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot 당신이 누구인지 알고있다. "나(me)" 대명사를 사용하여 당신과 관련된 인시던트를 찾으세요. 다음 지시문은 여러분에게 배정된 인시던트와 관련이 있습니다. What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
프롬프트 응답을 단일 인시던트로 좁히면 Copilot 컨텍스트를 알고 있습니다. Tell me about the entities associated with that incident.
Copilot 요약에 능숙합니다. 프롬프트 및 응답을 요약하려는 특정 대상 그룹을 설명하세요. Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

자세한 프롬프트 지침 및 샘플은 다음 리소스를 참조하세요.

피드백 제공하기

피드백은 제품의 현재 개발 및 계획된 개발을 안내하는 데 매우 중요합니다. 이 피드백을 제공하는 가장 좋은 방법은 제품에서 직접 제공하는 것입니다. 완료된 각 프롬프트 하단에서 이 응답은 어떤가요?를 선택하고 다음 옵션 중 하나를 선택합니다.

  • 맞음 - 결과가 정확한지 평가해서 선택합니다.
  • 개선 필요 - 평가에 따라 결과의 세부 정보가 부정확하거나 불완전한 경우 선택합니다.
  • 부적절 - 결과에 의심스럽거나, 모호하거나, 잠재적으로 유해한 정보가 포함되어 있는 경우 선택합니다.

각 피드백 옵션에 대해 나타나는 다음 대화 상자에서 추가 정보를 제공할 수 있습니다. 가능할 때마다, 특히 결과가 개선 필요인 경우 결과를 개선하기 위해 수행할 수 있는 작업을 설명하는 몇 단어를 작성합니다. Azure Firewall 관련 프롬프트를 입력했고 결과가 관련되지 않은 경우 해당 정보를 포함합니다.

Security Copilot 개인 정보 보호 및 데이터 보안

Security Copilot 프롬프트 및 서비스에서 검색된 데이터(프롬프트 출력)를 처리하는 방법을 이해하려면 Microsoft Security Copilot을 참조하세요.

  • Last updated on