위협 인텔리전스 브리핑 에이전트(독립 실행형 환경)

참고

이 문서에서는 Security Copilot 위협 인텔리전스 브리핑 에이전트 독립 실행형 환경에 대해 설명합니다. Microsoft Defender 포털의 포함된 환경에 대해 자세히 알아보려면 Microsoft Defender Microsoft Security Copilot 위협 인텔리전스 브리핑 에이전트(미리 보기)를 참조하세요.

위협 인텔리전스 분석가는 통찰력있고 실행 가능하며 컨텍스트화된 인텔리전스를 제공하는 데 몇 가지 어려움을 겪습니다. 위협 인텔리전스 브리핑 개발 작업에는 다양한 위협 피드, 도구 및 포털에서 정보를 수집하는 작업이 포함됩니다. 이 정보 필터링 및 상관 관계 지정 조직 위험을 분석하고 매핑합니다. 이러한 활동은 분석가가 보고서 자체를 개발하고 브리핑을 제공할 때 인사이트를 생성하기 전에 발생합니다. 그때까지 이러한 프로세스는 몇 시간에서 며칠까지 걸릴 수 있으므로 organization 직면한 위협은 이미 진화하여 브리핑이 사용되지 않게 될 수 있습니다.

위협 인텔리전스 브리핑 에이전트는 이러한 문제점에 대응하여 개발되었습니다. Microsoft Security Copilot 독립 실행형 포털의 위협 인텔리전스 브리핑 에이전트는 몇 분 만에 최신 위협 행위자 활동 및 내부 및 외부 취약성 정보를 기반으로 위협 인텔리전스 브리핑을 생성합니다. 에이전트는 CISO, 보안 관리자 및 분석가에게 주요 상황 인식과 방어 작업의 견고한 기반을 제공하는 사용자 지정된 관련 보고서를 만들어 보안 팀이 시간을 절약하는 데 도움이 될 수 있습니다.

에이전트는 풍부한 위협 인텔리전스 지식 및 신호와 함께 동적 자동화 및 심층 생성 AI를 활용합니다. 브리핑을 빌드할 때 에이전트는 이전 단계의 결과에 따라 다음 단계를 동적으로 선택하여 포함 및 우선 순위를 지정할 위협 인텔리전스를 실시간으로 결정할 수 있습니다. 그런 다음 에이전트는 이 기술 정보를 다양한 대상 그룹이 사용할 수 있는 소화 가능한 보고서로 변환합니다.

위협 인텔리전스 브리핑 에이전트는 Microsoft Defender 외부 공격 표면 및 엔드포인트용 Microsoft Defender 설정한 고객에게 가장 적합합니다. 에이전트는 이러한 자사 통합의 신호와 인사이트를 사용하여 정확하고 컨텍스트가 풍부한 보고서를 제공합니다.

필수 구성 요소

제품

이 에이전트를 실행하려면 Microsoft Security Copilot 필요합니다.

플러그 인

이 에이전트를 실행하려면 다음 플러그 인이 필요합니다.

Microsoft 위협 인텔리전스

다음 플러그 인은 선택 사항이지만 출력에 더 많은 컨텍스트를 추가할 수 있습니다.

Microsoft Defender 외부 공격 표면 관리

사용자 계정 권한 구성

중요

ID 및 권한 요구 사항: 이 에이전트는 기존 사용자 계정에 연결하거나 새 에이전트 ID(권장)를 생성해야 합니다. 에이전트는 Defender 외부 공격 표면 관리 데이터를 읽고 Defender 취약성 관리 수 있습니다. 에이전트를 설정하기 전에 다음 섹션에 설명된 적절한 권한으로 사용자 계정을 구성해야 합니다.

사용 권한 개요

에이전트에 연결된 사용자 계정에는 다음 권한이 있어야 합니다.

필요한 권한:

엔드포인트용 Microsoft Defender: Defender 취약성 관리 데이터에 대한 액세스
Security Copilot 기여자: Security Copilot 플랫폼 및 에이전트 관리에 대한 액세스

선택적 권한:

노출 관리(읽기): 외부 공격 Surface Management 데이터를 포함한 Microsoft 보안 노출 관리 인사이트에 대한 액세스

역할 기반 액세스:

소유자 및 기여자는 Microsoft Security Copilot 에이전트 라이브러리 페이지 내에서 위협 인텔리전스 브리핑 에이전트에서 생성된 보고서를 볼 수 있습니다.

권한 구성

1단계: Microsoft Defender XDR 사용자 지정 역할 만들기

Microsoft Defender 포털에 전역 관리자 또는 보안 관리자로 로그인합니다.
Permissions>Microsoft Defender XDR>Roles로 이동합니다.
사용자 지정 역할 만들기를 선택합니다.
기본 탭에서 다음을 수행합니다.
- 역할 이름: Threat Intel Agent - Read Only
- 설명: Read-only access for Threat Intelligence Briefing Agent
- 다음 선택
사용 권한 선택 페이지에서 다음을 수행합니다.
- 보안 태세 선택
- 사용자 지정 권한 선택
- 자세 관리에서 취약성 관리 - 읽기를 선택합니다.
- 다음 적용>을 선택합니다.
사용자 및 데이터 원본 할당 페이지에서 다음을 수행합니다.
- 할당 추가를 선택합니다.
- 할당 이름: Threat Intel Agent Assignment
- 직원: 에이전트의 사용자 계정 선택
- 데이터 원본: 엔드포인트용 Microsoft Defender 선택합니다.
- 다음제출을 선택합니다.>

2단계: Security Copilot 기여자 역할 할당

Microsoft Security Copilot 로그인합니다.
홈 메뉴 >역할 할당>멤버 추가를 선택합니다.
사용자 계정을 검색하여 선택한 다음 Security Copilot 기여자 역할을 할당합니다.
추가를 선택합니다.

3단계(선택 사항): 외부 공격 Surface 관리 권한 추가

organization Microsoft Defender 외부 공격 표면 관리 사용하는 경우:

Microsoft Defender 포털에서 Permissions>Microsoft Defender XDR>Roles로 이동합니다.
역할을 찾아 편집을 Threat Intel Agent - Read Only 선택합니다.
사용 권한> 선택보안 태세>사용자 지정 권한 선택으로 이동합니다.
자세 관리에서 노출 관리 - 읽기를 추가합니다.
데이터 원본에서 Microsoft 보안 노출 관리 추가합니다.
변경 내용을 저장합니다.

중요

권한을 설정한 후 역할을 적용할 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어) 모델을 활성화합니다.

팁

에이전트를 실행하기 위해 전용 서비스 계정을 사용하여 업무 분리를 유지하고 보안 모니터링을 강화하는 것이 좋습니다.

트리거

이 에이전트는 설정 시 설정된 시간 간격으로 실행되거나 실행하려는 경우 수동으로 실행됩니다.

에이전트 설정

위협 인텔리전스 브리핑 에이전트를 실행하려면 Microsoft Security Copilot 독립 실행형 포털의 에이전트 페이지로 이동합니다.
위협 인텔리전스 브리핑 에이전트를 선택하고 설정을 선택합니다.
에이전트의 ID를 선택합니다. 에이전트 ID를 만들거나 기존 사용자 계정을 할당하도록 선택할 수 있습니다. 그런 다음 에이전트가 설정을 완료할 때까지 기다립니다.
출력을 사용자 지정할 입력 매개 변수를 지정한 다음, 다음을 선택합니다. 나중에 에이전트 개요 페이지의 오른쪽 위 섹션에서 세 개의 점을 선택하여 이러한 매개 변수를 편집할 수 있습니다.
- 연구할 인사이트 – 에이전트가 활성 위협에 대해 조사하는 취약성 수
- 일 뒤 살펴보기 - 에이전트가 취약성에 대한 위협을 얼마나 멀리 조사했는지 확인합니다.
- Email – 브리핑이 전송되는 사용자 또는 메일 그룹의 이메일 주소
- 지역 – 에이전트가 위협을 검사하는 지리적 영역의 scope
- 산업 – 에이전트가 위협을 확인하는 섹터 또는 산업
에이전트를 만든 후 에이전트로 돌아가기를 선택하여 에이전트페이지로 돌아가거나 에이전트 로 이동을 선택하여 위협 인텔리전스 브리핑 에이전트 개요 페이지로 이동합니다.
에이전트를 실행하려면 에이전트 개요 페이지의 오른쪽 상단으로 이동하여 실행을 선택합니다. 트리거에서 를 선택하여 에이전트가 설정된 시간에 실행되도록 예약하거나 한 번 선택하여 요청 시 보고서를 실행합니다.