클래스: 보안용 마이크로소프트 코파일럿(Microsoft Copilot)
보안용 마이크로소프트 코파일럿으로 위협 탐지
- [강사] Microsoft Copilot for Security를 사용하여 위협을 헌팅하는 방법에 대해 알아보겠습니다. 위협 헌팅이란? 잠재적인 사이버 위협을 발견하기 위한 사전 예방적 접근 방식입니다. 즉, 보안 분석가는 경고가 올 때까지 기다리지 않습니다. 그들은 환경 내에서 악의적인 행동의 징후를 적극적으로 검색합니다. 위협 헌팅에는 몇 가지 일반적인 활동이 있습니다. 먼저 보안 분석가는 가설을 세워야 합니다. 이는 환경에 존재할 수 있는 특정 위협에 대한 가정입니다. 그런 다음 다양한 소스의 데이터를 분석하기 위해 헌팅 쿼리를 만듭니다. 잠재적인 위협을 발견하면 보안 분석가는 보고, 조사 및 대응과 같은 조치를 취합니다. Microsoft 보안 제품을 사용하는 경우 Microsoft Defender 및 Microsoft Sentinel에서 위협을 계산할 수 있으며 KQL(Kusto 쿼리 언어)을 사용하여 헌팅 쿼리를 작성해야 합니다. 그러나 문제는 보안 분석가가 KQL에 대한 전문 지식이 부족하고 데이터 스키마에 익숙하지 않을 수 있다는 것입니다. 이제 Microsoft Copilot for Security가 어떻게 도움이 되는지 살펴보겠습니다. Microsoft Defender의 고급 헌팅은 다음과 같습니다. 이러한 스키마의 데이터에 대한 위협을 헌팅하기 위해 KQL 쿼리를 만들어야 합니다. 예를 들어, alertinfo를 작성하고 카테고리별로 count ()를 요약 할 수 있습니다. 쿼리 실행을 클릭합니다. 각 경고 범주의 수를 반환합니다. 그러나 위협 헌팅 쿼리는 훨씬 더 복잡합니다. Queries(쿼리)를 클릭하여 샘플 쿼리를 찾은 다음 목록에서 하나를 선택할 수 있습니다. 예를 들어 횡적 이동에서 ImpersonatedUserFootprint를 선택할 수 있습니다. KQL 및 기본 데이터 스키마에 익숙하지 않은 경우 이 헌팅 쿼리를 작성하는 데 시간이 오래 걸립니다. 다행히 Copilot for Security에 도움을 요청할 수 있습니다. 이를 위해 새 쿼리 창을 만들어 보겠습니다. 그런 다음 Copilot을 클릭합니다. 쿼리를 생성하기 위해 질문을 할 수 있습니다. 예를 들어 심각도가 높은 CVE에 연결된 소프트웨어가 있는 디바이스를 찾습니다. Copilot은 사냥 쿼리를 생성하고 나를 위해 실행했습니다. 결과 창에는 몇 가지 일치하는 레코드가 표시되었습니다. 첫 번째 레코드를 확장했습니다. vm-win11 장치에 취약점이 포함된 오래된 Windows 버전이 있음을 알 수 있으며 관련 CVE ID도 볼 수 있습니다. 가설을 검증한 후 추가 조치를 취할 수 있습니다. 레코드를 선택한 다음 '작업 수행'을 클릭합니다. 그런 다음 디바이스를 격리할지, 조사 패키지를 수집할지 또는 앱 실행을 제한할지 결정할 수 있습니다. 보안을 위한 Copilot 창으로 돌아갑니다. Copilot이 자동으로 쿼리를 실행하지 않도록 하려면 추가 옵션을 클릭할 수 있습니다. 그런 다음 이 설정을 선택 취소합니다. 그런 다음 새 채팅을 시작할 수 있습니다. 새로운 질문을 해보자. 지난 30일 이내에 디바이스 vm-win11에 대한 모든 실패한 원격 로그인을 찾습니다. Submit(제출)을 클릭합니다. Copilot for Security가 쿼리를 생성한 후 쿼리 실행을 선택하거나 편집기에 추가만 선택할 수 있습니다. 쿼리를 계속 편집할 수 있습니다. 완료되면 쿼리 실행을 클릭하면 여기에서 결과를 볼 수 있습니다.
클래스를 오프라인에서 수강하려면?
클래스를 다운로드해 놓으면 네트워크에 연결하지 않아도 수강할 수 있습니다. LinkedIn Learning앱에서 클래스를 다운로드하세요.