Microsoft Defender EASM(Defender 외부 공격 표면 관리)은 디지털 공격 표면을 지속적으로 검색하고 매핑하여 온라인 인프라의 외부를 보여 줍니다. 이러한 가시성을 통해 보안 및 IT 팀은 알 수 없는 정보를 식별하고, 위험을 우선 순위를 지정하고, 위협을 제거하고, 방화벽을 넘어 취약성 및 노출 제어를 확장할 수 있습니다. 공격 노출 영역 인사이트는 취약성 및 인프라 데이터를 분석하여 조직의 주요 관심사 영역을 보여 줍니다.
Defender EASM의 Microsoft 보안 코필로트(보안 코필로트) 통합은 Microsoft에서 검색한 공격 표면과 상호 작용하는 데 도움이 됩니다. 공격 노출 영역을 식별하면 조직에서 외부에 연결된 인프라와 관련 있고 중요한 위험을 신속하게 파악할 수 있습니다. 취약성, 규정 준수 및 보안 위생을 비롯한 특정 위험 영역에 대한 인사이트를 제공합니다.
보안 코필로트에 대한 자세한 내용은 보안 코필로트가란?을 참조하세요. 포함된 보안 코필로트 환경에 대한 자세한 내용은 Azure Copilot를 사용하여 Defender EASM으로 공격 표면 쿼리를 참조하세요.
시작하기 전에 다음 사항에 유의합니다.
Security Copilot를 접하는 경우 다음 문서를 읽어 솔루션을 숙지하는 것이 좋습니다.
Defender EASM의 보안 부조종사
보안 코필로트는 조직의 공격 표면에 대한 Defender EASM의 인사이트를 표시할 수 있습니다. 보안 코필로트 기본 제공 기능을 사용할 수 있습니다. 자세한 내용을 보려면 보안 부조종사에서 프롬프트를 사용합니다. 이 정보는 보안 상태를 이해하고 취약성을 완화하는 데 도움이 될 수 있습니다.
이 문서에서는 Security Copilot을 소개하고 Defender EASM 사용자에게 도움이 될 수 있는 샘플 프롬프트가 포함되어 있습니다.
주요 특징
EASM 보안 부조종사 통합을 통해 다음을 수행할 수 있습니다.
외부 공격 노출 영역의 스냅샷을 가져와 잠재적 위험에 대한 인사이트를 생성합니다.
Defender EASM 독점 검색 알고리즘과 결합된 인터넷 사용 가능한 정보를 분석하여 외부 공격 표면을 빠르게 볼 수 있습니다. 호스트, 도메인, 웹 페이지 및 IP 주소와 같은 조직의 외부 연결 자산에 대해 이해하기 쉬운 자연어 설명을 제공합니다. 각각과 관련된 중요한 위험을 강조 표시합니다.
자산 위험 및 CVE(일반 취약성 및 노출) 목록 항목에 따라 수정 작업의 우선 순위를 지정합니다.
Defender EASM은 보안 팀이 환경에서 가장 큰 위험을 초래하는 자산 및 CVE를 이해할 수 있도록 지원하여 수정 작업의 우선 순위를 지정하는 데 도움이 됩니다. 취약성 및 인프라 데이터를 분석하여 주요 관심사 영역을 소개하고 위험 및 권장 작업에 대한 자연어 설명을 제공합니다.
보안 코필로트를 사용하여 인사이트를 표시합니다.
보안 코필로트를 사용하여 자연어를 사용하여 인사이트를 요청하고 Defender EASM에서 조직의 공격 표면에 대한 인사이트를 추출할 수 있습니다. 안전하지 않은 SSL(Secure Sockets Layer) 인증서 수, 검색된 포트 및 공격 노출 화면에 영향을 주는 특정 취약성과 같은 쿼리 세부 정보입니다.
공격 표면 큐레이션을 신속하게 수행합니다.
보안 코필로트를 사용하여 자산 집합에 대한 레이블, 외부 ID 및 상태 수정을 사용하여 공격 표면을 큐레이팅합니다. 이 프로세스는 큐레이션 속도를 향상하므로 인벤토리를 더 빠르고 효율적으로 구성할 수 있습니다.
보안 부조종사 통합 사용
Defender EASM에서 보안 코필로트 통합을 설정하려면 다음 섹션에 설명된 단계를 완료합니다.
필수 조건
통합을 사용하도록 설정하려면 다음 필수 구성 요소가 있어야 합니다.
- Microsoft 보안 Copilot에 대한 액세스
- 새 연결을 활성화할 수 있는 권한
Defender EASM에 보안 부조종사 연결
보안 부조종사에 액세스하고 인증되었는지 확인합니다.
프롬프트 입력 막대의 오른쪽 위에서 보안 부조종사 플러그 인 아이콘을 선택합니다.
Microsoft에서 Defender 외부 공격 Surface Management를 찾습니다. 연결하려면 [켜기]를 선택합니다.
보안 코필로트가 Defender EASM 리소스에서 데이터를 끌어오도록 하려면 기어 아이콘을 선택하여 플러그 인 설정을 엽니다. 개요 창에 있는 리소스의 Essentials 섹션에 있는 값을 사용하여 값을 입력하거나 선택합니다.
샘플 Defender EASM 프롬프트
보안 부조종사에서는 주로 자연어 프롬프트를 사용합니다. Defender EASM에서 정보를 쿼리할 때 보안 코필로트가 Defender EASM 플러그 인을 선택하고 관련 기능을 호출하도록 안내하는 프롬프트를 제출합니다.
보안 코필로트 프롬프트에서 성공하려면 다음 방법을 사용하는 것이 좋습니다.
첫 번째 프롬프트에서 회사 이름을 참조했는지 확인합니다. 달리 지정하지 않는 한, 이후의 모든 프롬프트는 처음에 지정된 회사에 대한 데이터를 제공합니다.
프롬프트에 명확하고 구체적으로 입력합니다. 프롬프트에 특정 자산 이름이나 메타데이터 값(예: CVE ID)을 포함하면 더 나은 결과를 가져올 수 있습니다.
또한 다음 예제와 같이 프롬프트에 Defender EASM을 추가하는 데 도움이 될 수 있습니다.
- Defender EASM에 따르면 만료된 도메인은 무엇인가요?
- Defender EASM 우선 순위가 높은 공격 노출 영역 인사이트에 대해 알려주세요.
사용 사례에 가장 적합한 것을 알 수 있도록 다양한 프롬프트와 변형을 실험합니다. 채팅 AI 모델은 다양하므로 받는 결과를 바탕으로 프롬프트를 반복하고 상세 검색합니다.
Security Copilot은 프롬프트 세션을 저장합니다. 이전 세션을 보려면 보안 코필로트의 메뉴에서 내 세션을 선택합니다.
핀 및 공유 기능을 포함한 보안 코필로트의 연습은 보안 코필로트 탐색을 참조하세요.
보안 코필로트 프롬프트 작성에 대한 자세한 내용은 보안 코필로트 프롬프트 팁을 참조 하세요.
플러그 인 기능 참조
| 기능 | 설명 | 입력 | 특성 |
|---|---|---|---|
| 공격 노출 영역 요약 가져오기 | 고객의 Defender EASM 리소스 또는 특정 회사 이름에 대한 공격 표면 요약을 반환합니다. |
예제 입력: • LinkedIn에 대한 공격 표면을 확보합니다. • 공격 표면을 확보합니다. • Microsoft의 공격 표면은 무엇인가요? • 공격 표면은 무엇인가요? • Azure의 외부 자산은 무엇인가요? • 외부에 노출된 자산은 무엇인가요? 선택적 입력: • CompanyName |
플러그 인이 활성 Defender EASM 리소스로 구성되어 있고 다른 회사가 지정되지 않은 경우: • 고객의 Defender EASM 리소스에 대한 공격 표면 요약을 반환합니다. 다른 회사명을 제공한 경우: • 회사 이름과 일치하는 항목이 없는 경우 가능한 일치 항목 목록을 반환합니다. • 정확히 일치하는 항목이 있으면 회사 이름에 대한 공격 표면 요약을 반환합니다. |
| 공격 표면 인사이트 가져오기 | 고객의 Defender EASM 리소스 또는 특정 회사 이름에 대한 공격 표면 인사이트를 반환합니다. |
예제 입력: • LinkedIn에 대한 우선 순위가 높은 공격 노출 영역 인사이트를 가져옵니다. • 우선 순위가 높은 공격 노출 영역 인사이트를 가져옵니다. • Microsoft에 대한 우선 순위가 낮은 공격 표면에 대한 인사이트를 가져옵니다. • 우선 순위가 낮은 공격 표면에 대한 인사이트를 가져옵니다. • Azure의 외부 공격 화면에 우선 순위가 높은 취약성이 있나요? 필수 입력: • PriorityLevel (우선 순위 수준은 높음, 중간 또는 낮아야 합니다. 제공되지 않으면 기본값이 높음)입니다. 선택적 입력: • CompanyName (회사 이름) |
플러그 인이 활성 Defender EASM 리소스로 구성되어 있고 다른 회사가 지정되지 않은 경우: • 고객의 Defender EASM 리소스에 대한 공격 표면 인사이트를 반환합니다. 다른 회사명을 제공한 경우: • 회사 이름과 일치하는 항목이 없는 경우 가능한 일치 항목 목록을 반환합니다. • 정확히 일치하는 항목이 있으면 회사 이름에 대한 공격 표면 인사이트를 반환합니다. |
| CVE의 영향을 받는 자산 가져오기 | 고객의 Defender EASM 리소스 또는 특정 회사 이름에 대한 CVE의 영향을 받는 자산을 반환합니다. |
예제 입력: • LinkedIn에 대해 CVE-2023-0012의 영향을 가져오는 자산을 가져옵니다. • Microsoft의 경우 CVE-2023-0012의 영향을 받는 자산은 무엇인가요? • Azure의 외부 공격 노출 영역이 CVE-2023-0012의 영향을 받나요? • 공격 표면에 대해 CVE-2023-0012의 영향을 가져오는 자산을 가져옵니다. • 내 자산 중 CVE-2023-0012의 영향을 받는 자산은 무엇인가요? • 내 외부 공격 표면이 CVE-2023-0012의 영향을 받나요? 필수 입력: • CveId 선택적 입력: • CompanyName |
플러그 인이 활성 Defender EASM 리소스로 구성되어 있고 다른 회사가 지정되지 않은 경우: • 플러그 인 설정이 채워지지 않은 경우, 친절하게 실패하고 고객에게 상기시켜 주세요. • 플러그 인 설정이 채워지면 고객의 Defender EASM 리소스에 대한 CVE의 영향을 받는 자산을 반환합니다. 다른 회사명을 제공한 경우: • 회사 이름과 일치하는 항목이 없는 경우 가능한 일치 항목 목록을 반환합니다. • 정확히 일치하는 항목이 있는 경우 특정 회사 이름에 대한 CVE의 영향을 받는 자산을 반환합니다. |
| CVSS의 영향을 받는 자산 가져오기 | 고객의 Defender EASM 리소스 또는 특정 회사 이름에 대한 CVSS(Common Vulnerability Scoring System) 점수의 영향을 받는 자산을 반환합니다. |
예제 입력: • LinkedIn의 공격 표면에서 우선 순위가 높은 CVSS 점수의 영향을 받는 자산을 가져옵니다. • Microsoft에 중요한 CVSS 점수가 있는 자산은 몇 개입니까? • Azure에 중요한 CVSS 점수가 있는 자산은 무엇입니까? • 내 공격 표면에서 우선 순위가 높은 CVSS 점수의 영향을 받는 자산을 가져옵니다. • 중요한 CVSS 점수가 있는 자산은 몇 개입니까? • 중요한 CVSS 점수가 있는 자산은 무엇인가요? 필수 입력: • CvssPriority (CVSS 우선 순위는 중요, 높음, 중간 또는 낮음이어야 합니다.)선택적 입력: • CompanyName |
플러그 인이 활성 Defender EASM 리소스로 구성되어 있고 다른 회사가 지정되지 않은 경우: • 플러그 인 설정이 채워지지 않은 경우, 친절하게 실패하고 고객에게 상기시켜 주세요. • 플러그 인 설정이 채워지면 고객의 Defender EASM 리소스에 대한 CVSS 점수의 영향을 받는 자산을 반환합니다. 다른 회사명을 제공한 경우: • 회사 이름과 일치하는 항목이 없는 경우 가능한 일치 항목 목록을 반환합니다. • 정확한 일치 항목이 있는 경우 특정 회사 이름에 대한 CVSS 점수의 영향을 받는 자산을 반환합니다. |
| 만료된 도메인 가져오기 | 고객의 Defender EASM 리소스 또는 특정 회사 이름에 대해 만료된 도메인 수를 반환합니다. |
예제 입력: • LinkedIn의 공격 표면에서 만료된 도메인은 몇 개인가요? • Microsoft의 만료된 도메인을 사용하고 있는 자산은 몇 개인가요? • 내 공격 표면에서 만료된 도메인은 몇 개인가요? • 내 자산 중 만료된 Microsoft 도메인을 사용하고 있는 자산은 몇 개인가요? 선택적 입력: • CompanyName |
플러그 인이 활성 Defender EASM 리소스로 구성되어 있고 다른 회사가 지정되지 않은 경우: • 고객의 Defender EASM 리소스에 대해 만료된 도메인 수를 반환합니다. 다른 회사명을 제공한 경우: • 회사 이름과 일치하는 항목이 없는 경우 가능한 일치 항목 목록을 반환합니다. • 정확히 일치하는 항목이 있는 경우 특정 회사 이름의 만료된 도메인 수를 반환합니다. |
| 만료된 인증서 가져오기 | 고객의 Defender EASM 리소스 또는 특정 회사 이름에 대해 만료된 SSL 인증서 수를 반환합니다. |
예제 입력: • LinkedIn에 대해 만료된 SSL 인증서는 몇 개인가요? • 만료된 Microsoft용 SSL 인증서를 사용하는 자산은 몇 개인가요? • 공격 표면에 대해 만료된 SSL 인증서는 몇 개인가요? • 만료된 SSL 인증서는 무엇인가요? 선택적 입력: • CompanyName |
플러그 인이 활성 Defender EASM 리소스로 구성되어 있고 다른 회사가 지정되지 않은 경우: • 고객의 Defender EASM 리소스에 대한 SSL 인증서 수를 반환합니다. 다른 회사명을 제공한 경우: • 회사 이름과 일치하는 항목이 없는 경우 가능한 일치 항목 목록을 반환합니다. • 정확히 일치하는 항목이 있는 경우 특정 회사 이름의 SSL 인증서 수를 반환합니다. |
| SHA1 인증서 가져오기 | 고객의 Defender EASM 리소스 또는 특정 회사 이름에 대한 SHA1 SSL 인증서 수를 반환합니다. |
예제 입력: • LinkedIn에는 몇 개의 SSL SHA1 인증서가 있나요? • Microsoft용 SSL SHA1을 사용하는 자산은 몇 개인가요? • 공격 표면에 SSL SHA1 인증서가 몇 개나 있나요? • SSL SHA1을 사용하는 자산은 몇 개인가요? 선택적 입력: • CompanyName |
플러그 인이 활성 Defender EASM 리소스로 구성되어 있고 다른 회사가 지정되지 않은 경우: • 고객의 Defender EASM 리소스에 대한 SHA1 SSL 인증서 수를 반환합니다. 다른 회사명을 제공한 경우: • 회사 이름과 일치하는 항목이 없는 경우 가능한 일치 항목 목록을 반환합니다. • 정확히 일치하는 항목이 있으면 특정 회사 이름에 대한 SHA1 SSL 인증서 수를 반환합니다. |
| 자연어를 Defender EASM 쿼리로 번역 | 자연어 질문을 Defender EASM 쿼리로 변환하고 쿼리와 일치하는 자산을 반환합니다. |
예제 입력: • jQuery 버전 3.1.0을 사용하는 자산은 무엇인가요? • 내 공격 화면에서 포트 80이 열려 있는 호스트를 가져옵니다. • IP X, IP Y 또는 IP Z인 IP 주소가 있는 인벤토리의 모든 페이지, 호스트 및 ASN 자산을 찾습니다. • 내 자산 중 등록자 이메일이 있는 자산은 <name@example.com>무엇인가요? |
플러그 인이 활성 Defender EASM 리소스로 구성된 경우: • 번역된 쿼리와 일치하는 자산을 반환합니다. |
리소스 데이터와 회사 데이터 간 전환
기술에 리소스 통합을 추가했지만, 특정 회사에 대해 미리 빌드된 공격 표면에서 데이터를 끌어옵니다. 고객이 공격 표면이나 미리 빌드된 회사 공격 표면에서 끌어오려는 시기를 결정할 때 보안 코필로트 정확도를 향상하려면 내 공격 표면 등을 사용하여 리소스를 사용하려는 경우를 전달하는 것이 좋습니다. 미리 빌드된 공격 표면을 사용하려는 경우 해당 회사 이름 등을 사용하여 전달합니다. 이 방법은 단일 세션의 환경을 개선하지만 혼동을 피하기 위해 두 개의 별도 세션을 사용하는 것이 좋습니다.
피드백 제공
일반적으로 Security Copilot 및 Defender EASM 플러그 인에 대한 피드백은 제품의 현재 및 계획된 개발을 안내하는 데 매우 중요합니다. 이러한 피드백을 제공하는 최적의 방법은 완료된 각 프롬프트 하단에 있는 피드백 단추를 사용하여 제품에서 직접 제공하는 것입니다. 올바르게 표시하거나, 개선이 필요하거나, 부적절하게 선택합니다. 결과가 기대와 일치할 때는 '보기'를 선택하고, 그렇지 않을 경우 개선이 필요하고, 결과가 어떤 식으로든 해로울 때는 부적절하게 선택하는 것이 좋습니다.
가능할 때마다, 특히 선택한 결과가 개선이 필요한 경우 결과를 개선하기 위해 수행할 수 있는 작업을 설명하는 몇 가지 단어를 작성하세요. 이 요청은 보안 코필로트가 Defender EASM 플러그 인을 호출해야 하지만 다른 플러그 인이 대신 사용되는 경우에도 적용됩니다.
Security Copilot의 개인 정보 보호 및 데이터 보안
보안 코필로트와 상호 작용하여 Defender EASM 데이터를 가져오면 Copilot는 Defender EASM에서 해당 데이터를 가져옵니다. 프롬프트, 검색된 데이터 및 프롬프트 결과에 표시되는 출력이 처리되고 보안 코필로트 서비스에 저장됩니다.
Security Copilot의 데이터 개인 정보에 대한 자세한 내용은 Security Copilot의 개인 정보 및 데이터 보안을 참조하세요.