피싱은 사이버 공격의 가장 일반적인 진입점 중 하나이며 SOC(보안 운영 센터) 팀의 지속적인 운영 부담입니다. 분석가는 신중한 검토 및 심사가 필요한 사용자가 보고한 의심스러운 이메일의 연속 스트림에 직면합니다. 대규모로 이 볼륨은 응답을 늦추고, 분석가 시간을 소비하며, 진정한 위협이 누락될 위험을 증가합니다.
Microsoft Defender 피싱 심사 에이전트는 보안 팀이 사용자가 보고한 피싱 메일의 심사 및 분류를 확장하고 반복적인 조사 작업을 줄이고 응답을 가속화하는 데 도움이 되는 AI 에이전트입니다.
피싱 심사 에이전트는 LLM(대규모 언어 모델) 기반 분석을 사용하여 보고된 이메일을 평가하고, 의도를 결정하고, 각 제출을 실제 위협 또는 가양성으로 분류합니다. 에이전트는 정적 규칙 또는 미리 정의된 입력에 의존하지 않고 컨텍스트 추론을 적용하여 동적으로 대규모로 제출을 평가합니다.
에이전트는 거짓 경보를 필터링하여 분석가가 확인된 위협과 영향력이 높은 조사에 집중할 수 있도록 하여 효율성을 개선하고 탐지를 가속화하며 organization 전반적인 보안 태세를 강화할 수 있습니다.
에이전트 작동 방식
피싱 심사 에이전트는 사용자가 제출한 피싱 인시던트 분류 및 심사를 통해 보안 운영 팀의 효율성을 향상시키는 Microsoft Defender Security Copilot 에이전트입니다. 에이전트의 주요 기능은 다음과 같습니다.
- 자율 심사: 고급 AI 도구를 사용하여 정교한 평가를 수행하고 단계별 사용자 입력 또는 코드 없이 제출이 실제 위협인지 거짓 경보인지 확인합니다.
- 투명한 근거: 자연어로 분류 평결에 대한 투명한 근거를 제공하며, 결론의 추론과 이에 도달하는 데 사용된 증거를 자세히 설명합니다. 또한 추론 프로세스의 시각적 표현을 제공합니다.
- 피드백 기반 학습: 분석가는 분류 결과에 대한 피드백을 제공할 수 있습니다. 시간이 지남에 따라 이 피드백은 조직의 컨텍스트를 더 잘 반영하고 수동 후속 작업을 줄이기 위해 에이전트의 동작을 구체화하는 데 도움이 됩니다.
피싱 시도를 조사하기 위해 에이전트는 새로운 검색 기술과 통합을 사용할 수 있게 됨에 따라 지속적으로 발전하는 보안 도구 집합과 함께 Microsoft Defender 및 Microsoft Security Copilot 기능의 조합을 사용합니다. 현재 예제는 다음과 같습니다.
- 콘텐츠 분석 Email – 이메일 본문에서 의심스러운 패턴 및 지표를 검색합니다.
- 파일 및 URL 폭발 – Microsoft 심층 분석 도구를 사용하여 잠재적으로 악의적인 파일과 링크를 안전하게 실행하고 분석합니다.
- 스크린샷 분석 – 이메일, URL 및 지원되는 파일 형식의 시각적 콘텐츠를 검토합니다.
- 위협 인텔리전스 도구 – Microsoft 위협 인텔리전스 피드를 사용하여 보강된 검색 컨텍스트를 제공합니다.
- 데이터 원본 간 고급 헌팅 – 사용 가능한 모든 보안 데이터 원본의 신호를 상관 관계를 지정하여 의심스러운 활동을 컨텍스트화하고 정보에 입각한 조사 결정을 내립니다.
필수 구성 요소
사용자 환경에서 피싱 심사 에이전트를 실행하려면 다음이 필요합니다.
| 구성 요소 | 세부 정보 |
|---|---|
| 제품 | - SCU(보안 컴퓨팅 단위)에서 Security Copilot 및 프로비전된 용량입니다.
Security Copilot 시작 또는 Microsoft Security Copilot포함 모델의 일부로 SCU를 받을 자격이 있는지 여부를 검사 - Office 365 플랜 2 배포에 대한 Microsoft Defender |
| 필요한 기능 Microsoft Defender | - Office 365 Defender에 대해 사용하도록 설정된 URBAC(통합 역할 기반 액세스 제어)입니다. 자세한 내용은 URBAC 설정 활성화 를 참조하세요.
- 사용자 보고 설정에서 Outlook에서 보고된 메시지 모니터링을 사용하도록 설정합니다. 자세한 내용은 사용자 보고 설정을 참조하세요. 사용자가 맬웨어 또는 피싱으로 보고한 경고 정책 Email 켜져 있어야 합니다. 자세한 내용은 Microsoft Defender 포털의 경고 정책을 참조하세요. |
| 플러그 인 | 피싱 심사 에이전트는 다음 Security Copilot 플러그 인을 자동으로 활성화합니다. - Microsoft Defender XDR - Microsoft 위협 인텔리전스 - 피싱 심사 에이전트 |
URBAC 설정 활성화
Microsoft Defender XDR 설정에서 Office 365용 Defender 워크로드를 활성화합니다.
자세한 내용은 Microsoft Defender XDR 설정에서 워크로드 활성화를 참조하세요.
사용자 보고 설정 구성
Outlook에서 보고된 메시지 모니터링을 사용하도록 설정하여 사용자가 Microsoft Outlook에서 잠재적으로 악의적인 메시지를 보고하는 방법을 정의하고 보고된 메시지 대상 옵션을 선택합니다.
자세한 내용은 Microsoft Defender 포털을 사용하여 사용자 보고 설정 구성을 참조하세요.
타사 전자 메일 보고 도구를 사용하는 경우 타사 보고 도구에 대한 옵션을 검토하고 보고된 메시지를 Microsoft Defender XDR 통합하는 공급업체의 옵션을 확인합니다.
경고 정책 추가
피싱 심사 에이전트는 사용자가 맬웨어 또는 피싱으로 보고한 Email 형식의 경고를 포함하는 피싱 인시던트 문제를 해결합니다. 해당 경고 정책을 사용하도록 설정했는지 확인합니다. 자세한 내용은 Microsoft Defender 포털의 경고 정책을 참조하세요.
중요
피싱 심사 에이전트는 표시 안 함 규칙을 사용하여 표시하지 않는 경고를 분류하지 않습니다.
필요한 권한
이 표에서는 Defender 포털에서 피싱 심사 에이전트와 관련된 다양한 작업을 수행하는 데 필요한 권한을 간략하게 설명합니다.
| 사용자 작업 | 사용 권한 필요 |
|---|---|
| 피드백을 통해 에이전트 결과 보기 및 에이전트 교육 | Security Copilot(읽기), 보안 데이터 기본 사항(읽기), 경고(관리), Email & 협업 메타데이터(읽기) 및 defender 포털의 보안 작업 권한 그룹에서 공동 작업 콘텐츠(읽기)를 Email & Microsoft Defender 범위가 지정됩니다. 데이터 원본을 Office 365. 자세한 내용은 피싱 심사 에이전트 필수 권한을 참조하세요. |
| 에이전트 설정 보기 | Defender 포털의 보안 작업 권한 그룹에서 Security Copilot(읽기) 및 보안데이터 기본 사항(읽기) 또는 Microsoft Entra ID 보안 관리자 |
| 피드백 보기 페이지 | Defender 포털의 보안 작업 권한 그룹에서 Security Copilot(읽기), 보안 데이터 기본 사항(읽기) 및 Email & 협업 메타데이터(읽기) 또는 Microsoft Entra ID 보안 관리자 |
| 에이전트 설정 관리(에이전트 설정, 일시 중지, 제거 및 에이전트 ID 관리) | Microsoft Entra ID 보안 관리자 |
| 피드백 거부 | Microsoft Entra ID 보안 관리자 |
Defender 포털의 통합 RBAC에 대한 자세한 내용은 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.
피싱 심사 에이전트 설정
에이전트를 설정하기 전에 필요한 권한이 있고 모든 필수 구성 요소가 충족되는지 확인합니다.
설치 시작
다음 두 가지 방법으로 피싱 심사 에이전트 설정 마법사에 액세스할 수 있습니다.
Microsoft Defender 포털의 인시던트 큐에서 에이전트 설정을 선택합니다.
또는 시스템 > 설정 > Microsoft Defender XDR > 피싱 심사 에이전트 > 개요 > 설정을 선택하여 프로세스를 시작합니다.
에이전트의 ID 및 권한 할당
설치 마법사는 에이전트에 ID 및 해당 작업을 수행하는 데 필요한 권한을 할당하는 방법을 안내합니다.
ID 할당
에이전트를 작동하려면 ID가 필요합니다. 마법사는 두 가지 ID 유형 중 하나를 선택하라는 메시지를 표시합니다.
선택:
새 에이전트 ID 만들기(권장) - 새 Microsoft Entra 에이전트 ID 자동으로 만듭니다. Microsoft Entra AI 에이전트용 에이전트 ID를 만듭니다. 에이전트 ID를 사용하면 액세스 범위가 지정되고 안전하며 관리하기 쉽습니다. 자세한 내용은 에이전트 ID란?을 참조하세요.
또는
기존 사용자 계정 연결 - 기존 사용자 계정을 에이전트 ID로 할당합니다. 에이전트는 사용자 계정의 액세스 및 권한을 상속합니다. 이 ID 옵션을 사용하려면 ID를 직접 만들고 설정하기 전에 에이전트에 필요한 권한을 할당해야 합니다 . 사용자 계정을 만드는 방법에 대한 자세한 내용은 새 사용자 만들기를 참조하세요.
에이전트를 계정에 연결하는 경우 긴 계정 만료 날짜를 설정하고 인증 상태 면밀히 모니터링하여 에이전트의 지속적인 작업을 보장하는 것이 좋습니다. 인증이 만료되면 에이전트가 갱신될 때까지 작동을 중지합니다.
에이전트의 지정된 사용자 ID는 장기 백그라운드 작업을 지원하지 않으므로 PIM 또는 TAP와 호환되지 않습니다.
팁
에이전트에 대한 최소 필수 권한이 있는 전용 ID 계정을 사용합니다. 계정을 만들 때 피싱 심사 에이전트와 같은 고유한 표시 이름을 할당하여 Microsoft Defender 포털에서 쉽게 식별할 수 있습니다.
에이전트가 생성된 사용자 계정에 따라 작동할 수 있도록 Security Copilot 대한 조건부 액세스 정책을 설정합니다. 자세한 내용은 Microsoft Security Copilot 대한 조건부 액세스 정책 문제 해결을 참조하세요.
사용 권한을 할당합니다.
최소 권한 원칙에 따라 피싱 심사 에이전트가 작업을 수행하는 데 필요한 권한만 에이전트 ID에 할당하는 것이 좋습니다.
에이전트 ID를 사용하는 경우 드롭다운에는 에이전트에 필요한 권한이 있는 organization 역할만 표시됩니다. organization 기존 역할을 선택하거나 적절한 역할이 아직 설정되지 않은 경우 필요한 권한으로 새 역할을 자동으로 만듭니다.
기존 사용자 계정을 사용하는 경우 설치 중에 에이전트 ID를 할당하기 전에 해당 ID에 필요한 권한을 할당 해야 합니다. 설치 마법사에서는 이 작업을 수행할 수 없습니다.
피싱 심사 에이전트에 필요한 권한
에이전트 ID에는 메일에 액세스하고, 콘텐츠를 분석하고, 경고를 관리하려면 다음 권한이 필요합니다.
- 보안 데이터 기본 사항(읽기): 경고 및 인시던트와 같은 기본 보안 데이터에 액세스하는 데 사용됩니다.
- 경고(관리): 경고를 분류하고 경고 상태를 모니터링하여 경고 상태 재정의를 방지하는 데 사용됩니다.
- Security Copilot(읽기): Security Copilot 기능에 액세스하는 데 사용됩니다.
- Email & 협업 메타데이터(읽기): 사용자가 보고한 전자 메일에 대한 메타데이터에 액세스하는 데 사용됩니다.
- Email & 공동 작업 콘텐츠(읽기): 분석을 수행하는 데 필요한 사용자가 보고한 전자 메일의 콘텐츠를 읽는 데 사용됩니다.
이러한 권한은 보안 작업 권한 그룹에 있습니다.
Office 365 데이터 원본에 대한 Microsoft Defender 대한 액세스 권한을 에이전트에 부여해야 합니다.
역할을 만들려면 다음을 수행합니다.
- 에이전트가 포괄적인 컨텍스트로 경고를 효과적으로 분석할 수 있도록 관련 Defender 워크로드가 활성화되었는지 확인합니다. URBAC 설정 활성화의 단계를 따릅니다.
- 필요한 권한이 있는 역할을 만들거나 에이전트에 이러한 권한이 있는 기존 역할을 할당합니다.
- 에이전트에 역할을 할당합니다. Office 365 데이터 원본에 대한 Microsoft Defender 대한 액세스 권한을 에이전트에 부여해야 합니다.
중요
에이전트의 권한을 할당한 후 에이전트를 모니터링하는 사용자 그룹에 해당 활동 및 출력을 감독할 수 있는 권한이 같거나 더 높은지 확인합니다. 이렇게 하려면 Microsoft Defender 포털의 사용 권한 페이지에서 사용자 그룹의 권한을 에이전트와 비교합니다.
피싱 심사 에이전트를 사용하여 인시던트 대응 향상
에이전트는 보안 팀이 조직에서 매일 받는 의심스러운 전자 메일의 압도적인 볼륨을 관리할 수 있도록 설계되었습니다. SOC 팀의 힘 승수 역할을 하는 에이전트는 시간이 많이 걸리는 심사 작업을 오프로드하고, 경고 피로를 줄이고, 실제 피싱 위협을 자율적으로 식별하여 인시던트 대응을 가속화합니다. 이를 통해 분석가는 소음을 줄이고 진정으로 중요한 위협에 집중할 수 있습니다.
에이전트 트리거 및 흐름
완전히 설정되고 실행되면 사용자가 의심스러운 피싱 이메일을 보고하고 경고가 생성되면 피싱 심사 에이전트가 자동으로 트리거됩니다. 그런 다음 에이전트는 정교한 AI 도구와 organization 컨텍스트를 사용하여 경고를 자율적으로 분석하여 관련 위협이 악의적인지 아니면 거짓 경보인지 확인합니다.
경고가 거짓 경보로 확인되면 에이전트는 이를 가양성으로 분류하고 그에 따라 해결합니다. 경고가 악의적인 것으로 간주되면 True Positive로 분류되고 관련 인시던트의 상태 열려 있으며 분석가가 조사하고 추가 조치를 취할 수 있도록 진행 중입니다.
에이전트는 처리하는 모든 경고에 대해 투명성을 높이고 해당 인시던트에 대한 분석가의 신뢰를 구축하는 평결에 대한 자세한 설명을 제공합니다.
에이전트와 공동 작업
투명성을 유지하기 위해 에이전트는 심사 프로세스 중에 인시던트 필드를 정기적으로 업데이트합니다. 심사가 시작되면 에이전트는 자체에 경고를 할당하고 해당 인시던트에 에이전트 태그를 추가합니다. 분석가는 인시던트 큐를 필터링하여 에이전트에 의해 태그가 지정된 인시던트만 확인하여 감독 및 우선 순위를 간소화할 수 있습니다.
팁
피싱 심사 에이전트에 할당한 ID의 이름을 사용하여 인시던트 큐를 필터링하여 에이전트가 현재 작업 중인 인시던트도 확인할 수 있습니다.
경고가 실제 피싱 위협으로 식별되면 피싱 심사 에이전트는 이를 참 긍정으로 표시합니다. 이를 통해 분석가는 확인된 피싱 위협의 우선 순위를 지정하고 보다 신속하게 대응할 수 있습니다. 이러한 경고에 플래그가 명확하게 지정되면 분석가는 큐를 쉽게 필터링하여 확인된 위협에 집중할 수 있으므로 큐가 크게 감소하고 가양성을 통해 정렬하는 데 소요되는 시간을 최소화할 수 있습니다. 이렇게 하면 가장 중요한 곳에 노력을 집중할 수 있습니다.
피싱 심사의 투명성 및 설명 가능성
피싱 심사 에이전트는 각 결정을 내린 이유 와 방법을 명확하게 설명하기 위해 특별히 제작되었습니다. 처리하는 모든 경고에 대해 의사 결정 워크플로의 전체 그래픽 표현과 함께 일반 텍스트로 자세한 설명을 제공합니다. 이러한 수준의 투명성을 통해 분석가는 피싱 심사 프로세스에서 수동 단계를 반복하는 대신 신속하게 결과를 해석하고, 에이전트의 출력에 대한 신뢰를 구축하고, 정보에 입각한 결정을 내리는 데 시간을 집중할 수 있습니다.
에이전트의 결과를 검토하려면 다음 단계를 수행합니다.
인시던트 대기열에서 인시던트를 선택합니다.
인시던트 페이지에서 단계별 대응 심사 섹션 아래의 Copilot 또는 Tasks 측면 패널에서 피싱 심사 에이전트 카드 찾습니다. 작업이 완료된 것으로 표시되고 에이전트에 할당됩니다. 카드 분류에 따라 에이전트의 평결을 제시하여 결정을 통보 한 유죄 판결의 핵심 부분을 강조합니다.
추가 작업 줄임표를 선택하여 더 많은 경고 세부 정보를 보거나, 에이전트의 분류 세부 정보를 클립보드에 복사하거나, 피드백을 관리할 수 있습니다.
에이전트가 분류에 도달하기 전에 수행한 단계를 보려면 피싱 심사 에이전트 카드 에이전트 활동 보기를 선택합니다. 에이전트의 최종 분류 뒤에 있는 논리를 보여줍니다.
피드백을 통해 에이전트에게 organization 컨텍스트 교육
피싱 심사 에이전트는 organization 요구에 맞는 피드백에 따라 의사 결정을 지속적으로 개선합니다. 분석가는 복잡한 구성이 필요하지 않은 일반 자연어로 입력을 제공하여 에이전트의 동작을 쉽게 안내하고 형성할 수 있습니다. 이 피드백은 에이전트의 메모리에 저장되므로 organization 피싱 위협을 해석하고 분류하는 방식에 적응할 수 있습니다. 시간이 지남에 따라 이 적응은 팀이 제어할 수 있는 향후 경고를 심사하는 에이전트의 정확도와 효율성을 향상시킵니다.
피드백을 제공하고 에이전트를 가르치려면 다음 단계를 수행합니다.
인시던트 페이지에서 단계별 대응 심사 섹션 아래의 Copilot 또는 작업 쪽 패널에서 피싱 심사 에이전트 카드 찾습니다.
카드 제목 및 콘텐츠에 표시되는 에이전트의 분류 및 추론을 검토합니다. 결정이 organization 분류 조건에 맞지 않는 경우 분류 변경을 선택합니다. 또는 경고 탭에서 특정 경고를 선택한 다음 경고관리를 선택하여 분류를 업데이트할 수 있습니다.
경고 관리 창의 분류 드롭다운 메뉴에서 새 분류를 선택합니다. 그런 다음 , 이 분류 를 변경한 이유를 입력하여 변경 이유를 제공합니다. 이 단계에서는 감사 목적으로만 피드백 관리 페이지에 입력을 기록합니다. 에이전트는 에이전트를 가르치기 위해 이 피드백 사용을 명시적으로 선택할 때까지 이 피드백을 사용하여 의사 결정을 개선하지 않습니다. 에이전트를 가르치기 위해 이 피드백을 사용하지 않도록 선택한 경우 저장을 선택할 수 있습니다. 그러면 에이전트의 메모리에 삽입하지 않고 피드백만 감사합니다.
피드백을 적용하려면 이 피드백 사용을 선택하여 에이전트를 가르칩니다. 가이드를 사용하여 효과적인 입력을 만드는 데 도움이 되는 피드백을 작성한 다음 피드백 평가를 선택하여 에이전트가 피드백을 수업으로 변환하는 방법을 미리 보고 결과가 의도와 일치하는지 평가할 수 있습니다. 또한 피드백 평가는 기본 안전 검사를 수행하여 적용된 피드백이 에이전트의 사용과 관련이 있고 이전 피드백과 충돌하지 않도록 합니다.
참고
경고당 한 번만 에이전트에 피드백을 제공할 수 있으며, 특히 True Positive(피싱) 또는 가양성(악성이 아님)을 선택하여 피싱 경고를 분류하는 방법을 에이전트에게 가르치는 데만 사용할 수 있습니다. 단원을 저장하기 전에 항상 피드백을 검토하고 AI에서 생성된 응답을 확인합니다.
결과가 기대에 부합하는 경우 에이전트의 메모리에 단원을 삽입하여 향후 결정에 영향을 줄 수 있습니다. 저장을 선택하여 단원을 저장하고 해당하는 경우 에이전트의 메모리에 단원으로 저장합니다. 감사 목적으로 기록된 모든 피드백과 에이전트의 메모리에 추가된 단원은 나중에 피드백 관리 페이지에서 검토할 수 있습니다.
에이전트는 저장된 피드백을 활용하여 향후 유사한 경고를 심사하고 분류합니다. 피드백 특성과 일치하는 관련 경고가 수신되면 에이전트는 이 피드백을 적용하여 분류를 결정하고 이를 의사 결정 프로세스의 지원 증거로 통합합니다.
피드백 작성 모범 사례
단원은 에이전트가 경고가 진정한 피싱 위협인지 거짓 경보인지 여부를 결정하는 데 도움이 되는 체계적인 지침을 제공합니다. 에이전트가 피드백을 효과적으로 통합하도록 하려면 피싱 심사 에이전트에 입력을 제공할 때 다음 모범 사례를 따르세요.
- 피드백이 관련성이 있고 상황에 맞는지 확인합니다. 피드백은 현재 검토 중인 전자 메일과만 관련되어야 합니다. 또한 할당한 업데이트된 분류와 일치해야 합니다.
- 설명적이고 구체적이어야 합니다. 전자 메일의 특징을 명확하게 설명합니다. 전자 메일 제목, 메시지 본문, 보낸 사람 또는 받는 사람과 같은 관련 세부 정보를 제공하여 에이전트가 컨텍스트를 이해하는 데 도움을 줍니다. 여러 세부 정보가 포함된 특정 피드백은 효율성을 향상시킵니다.
- 명확성과 결정성을 보장합니다. 모호하거나 범용 문을 사용하지 않습니다. 명확하고 실행 가능한 피드백을 제공합니다. 결정적이고 명확한 식별 용어를 사용합니다.
- 이전 피드백과 일치해야 합니다. 에이전트를 혼동하거나 결정의 정확도를 줄일 수 있는 모순을 피하기 위해 새 피드백이 이전에 제공된 피드백과 일치하는지 확인합니다. 피드백 관리 페이지에서 이전에 제출한 모든 입력을 검토할 수 있습니다.
- 피드백에 대한 에이전트의 해석을 검토합니다. 피드백을 제출할 때 항상 피드백이 수업으로 정확하게 번역되었는지 확인합니다. 단원에서 의도를 반영하고 원래 입력과의 일관성을 유지하는지 확인합니다. AI 생성 응답의 유효성을 확인하여 시나리오에 적용할 수 있는지 확인합니다.
다음은 에이전트에 피드백을 작성하는 방법의 예입니다.
| 영역 | 잘 작성된 피드백의 예 | 실패로 이어질 수 있는 피드백의 예 | 비교 |
|---|---|---|---|
| 보낸 사용자에 대한 피드백 | 혜택 공급자의 전자 메일은 "@benefits.company.com"에서 시작되어야 합니다. | 인시던트에서 두 번째 경고의 발신자는 합법적이지 않습니다. | 피드백은 현재 경고 및 해당 컨텍스트의 전자 메일과 관련이 있어야 합니다. 이는 선택한 분류(피드백에 명시적으로 언급되지 않은 경우에도)에 연결되고 유사한 향후 경고에 사용됩니다. |
| 보낸 사람 및 전자 메일 본문에 대한 피드백 | 파일 공유 또는 문서 액세스를 제공하는 전자 메일은 권한 있는 공급자 Contoso.com 제공되어야 합니다. | 파일 공유 또는 문서 액세스를 제공하는 전자 메일은 권한 있는 공급자만 제공해야 합니다. | 잘 작성된 피드백은 특정 요구 사항(예: 보낸 사람 도메인)을 명확하게 명시하지만 모호한 참조(예: "권한 있는 공급자")에는 실행 가능한 정보가 포함되어 있지 않습니다. |
| 전자 메일 제목에 대한 피드백 | 주체에 청구 트랜잭션 요청이 포함된 전자 메일은 organization 허용되지 않으며 피싱으로 간주됩니다. | 주제에 긍정적 인 자연 감정이있는 경우, 그것은 합법적입니다. | 설명적이고 구체적인 피드백은 효과적으로 유효성을 검사할 수 있지만 주관적인 피드백은 의도하지 않은 결과로 이어질 수 있습니다. |
| 전자 메일 본문에 대한 피드백 | 자격 증명 확인을 요청하는 전자 메일에는 특정 계정 또는 서비스에 대한 참조가 포함되어야 합니다. 세부 정보가 없는 일반적인 '계정 확인' 요청은 피싱으로 처리해야 합니다. | 이 전자 메일은 피싱으로 처리해야 합니다. | 자세한 정보가 포함된 피드백은 명확하게 이해될 가능성이 높으며, 세부 정보가 부족한 피드백은 다양한 방법으로 해석될 수 있으며 예측할 수 없는 결과로 이어질 수 있습니다. |
| 받는 사람 및 전자 메일 본문에 대한 피드백 | 이 전자 메일은 여러 직원에게 전송되었으며 본문은 수신자에게 해당 내용을 설명하지 않고 '중요한 첨부 파일'을 다운로드하도록 지시합니다. 합법적인 전자 메일은 항상 첨부 파일 세부 정보를 지정합니다. | 첨부 파일이 있는 대량 내부 전자 메일은 피싱입니다. | 합법적인 전자 메일에서 일반적으로 발견되는 누락된 특정 세부 정보를 강조하는 피드백이 더 효과적입니다. 광범위한 일반화(대량 이메일) 또는 모호한 용어(예: "내부")가 포함된 피드백은 과도한 수의 참 긍정으로 이어질 수 있습니다. |
| 받는 사람 및 도메인에 대한 피드백 | 새 계약자 온보딩 이메일은 올바른 받는 사람에게 전달되도록 'v-'로 시작하는 이메일 주소로만 보내야 합니다. | 계약자 이메일은 평소와 다르게 보이므로 피싱일 수 있습니다. | 잘 작성된 피드백은 예상 받는 사람 형식을 명확하게 정의하지만, 미해지지 않고("있을 수 있음") 명확한 식별 기준이 없는 피드백(다른 항목을 지정하지 않고 "평소와 다르게 보인다")은 검색을 신뢰할 수 없게 만듭니다. |
피드백 오류 해결
에이전트가 피드백을 받으면 이를 단원으로 변환합니다. 에이전트가 피드백을 해석하는 데 성공하지 못하면 관련 메시지에 실패의 원인이 표시됩니다. 에이전트에서 반환한 메시지에 따라 이러한 오류를 해결할 수 있습니다.
다음은 에이전트에 피드백을 작성할 때 발생할 수 있는 오류의 예와 이를 resolve 수 있는 방법입니다.
| 오류 메시지 | 권장 작업 |
|---|---|
제공된 피드백의 일부는 현재 에이전트가 이러한 유형의 입력을 지원하지 않으므로 단원으로 번역할 수 없으므로 해결할 수 없습니다. |
피드백을 다시 작성하고 모범 사례를 따르는지 확인합니다. 피드백 평가를 선택하여 다시 시도합니다. |
피드백에는 에이전트가 지원할 수 있지만 현재 있는 전자 메일과 관련이 없으므로 메모리에 저장할 실행 가능한 단원으로 번역할 수 없다는 입력이 포함되어 있습니다. |
피드백을 다시 작성하고 지원할 수 있는 전자 메일에 대한 설명을 해결하는지 확인합니다. 그런 다음 피드백 평가를 선택하여 다시 시도합니다. |
지정된 피드백은 비슷한 전자 메일에 제공된 이전 피드백과 충돌합니다. |
피드백 관리 페이지에서 피드백 ID를 검색하여 충돌하는 피드백을 확인합니다. 검토에 따라 다음을 수행할 수 있습니다. - 피드백 관리 페이지에서 이전 피드백을 거부합니다. 그런 다음 평가를 선택하여 피드백을 다시 삽입해 봅니다. - 충돌하지 않는 방식으로 지정된 피드백을 다시 작성하고 에이전트에 대한 피드백 평가를 선택하여 새 입력을 다시 평가합니다. |
참고
피드백 실패를 resolve 않도록 선택할 수 있습니다. 피드백을 그대로 두고 에이전트를 가르치는 확인란을 선택하지 않고 저장 을 선택할 수 있습니다. 피드백은 에이전트의 메모리에 저장되지 않으며 향후 추적 분류 변경에 대한 피드백 관리 페이지에만 문서화됩니다.
에이전트를 가르치고 조직 지식을 갖추면 의사 결정 기능을 구체화하기 시작합니다. 이 대화형 교육 프로세스를 통해 에이전트가 지속적으로 발전하여 시간이 지남에 따라 점점 더 정확한 분류 및 응답을 제공합니다. 피드백 루프를 통합하여 시스템은 조직의 우선 순위 및 인시던트 패턴의 변화하는 환경에 동적으로 적응합니다.
피싱 심사 에이전트 관리
피싱 심사 에이전트의 설정을 관리하려면 해당 작업을 검토하고 에이전트와의 사용자 상호 작용을 검토하려면 인시던트 큐 위의 카드 에이전트 관리를 선택합니다. 또는 설정 > Microsoft Defender XDR > 피싱 심사 에이전트 > 피드백을 선택합니다.
에이전트의 이전 활동 보기
에이전트에서 모든 이전 실행을 보려면 다음을 수행합니다.
- 설정 > Microsoft Defender XDR > 피싱 심사 에이전트 > 개요를 선택합니다.
-
에이전트 활동 보기를 선택합니다.
그러면 새 탭에서 Security Copilot 포털이 열립니다. 탭은 에이전트의 모든 최근 활동 및 세부 정보를 나열하는 테이블로 열립니다.
에이전트에 대한 피드백 보기 및 관리
피싱 심사 에이전트는 피드백을 사용하여 시간이 지남에 따라 성능을 향상시킵니다. 메모리에 적용 가능한 피드백을 단원으로 저장합니다. 피드백 관리 페이지로 이동하여 피싱 심사 에이전트에 대해 사용자가 제출한 피드백을 보고 관리할 수 있습니다.
이 페이지에서는 에이전트에 제출된 모든 피드백의 포괄적인 목록을 제공합니다. 다음을 포함하여 각 피드백에 대한 주요 세부 정보를 검토할 수 있습니다.
- 에이전트의 원래 분류 및 사용자 적용 변경
- 분류를 변경할 때 사용자가 제공한 원래 피드백
- 에이전트에서 생성된 번역된 단원(해당하는 경우)
- 피드백 상태: 사용 중, 사용 중이 아님 또는 충돌
- 피드백을 제공한 사용자
- 피드백 제출 날짜, 피드백 ID, 경고 ID 및 인시던트 ID
피드백 상태 다음을 의미할 수 있습니다.
| 상태 | 설명 |
|---|---|
| 사용 중 | 피드백은 에이전트 메모리의 단원으로 성공적으로 변환되었으며 유사한 인시던트 심사 및 분류에 적극적으로 사용됩니다. |
| 충돌 | 제공된 피드백은 유사한 인시던트에서 이전에 제공한 피드백과 충돌합니다. 피드백 실패를 resolve 수 있는 방법을 알아봅니다. |
| 사용되지 않음 | 피드백은 에이전트의 메모리에 통합되지 않았거나 사용자가 교육용으로 표시하지 않았습니다. 거부된 단원은 "사용되지 않음"으로 표시되며 인시던트 심사 및 분류가 아니라 감사용으로만 저장됩니다. 자세한 내용은 세부 정보 패널을 선택합니다. |
팁
피드백은 개별적으로만 관리할 수 있습니다. 여러 피드백 항목의 대량 관리는 현재 지원되지 않습니다.
특정 피드백의 세부 정보를 검토하려면 피드백 목록에서 항목을 선택합니다. 피드백 검토 창에서 제공된 피드백의 세부 정보, 에이전트의 단원, 분류 변경 및 기타 중요한 세부 정보를 검사. 이러한 세부 정보를 사용하여 에이전트의 메모리에 피드백을 유지할지 아니면 거부할지를 결정할 수 있습니다.
참고
제공된 피드백을 거부하려면 Microsoft Entra ID 보안 관리자 역할이 필요합니다.
특정 피드백을 거부하려면 피드백 검토 창을 열고 피드백 거부를 선택합니다. 이렇게 하면 에이전트가 거부된 것으로 기록하고 향후 심사 결정에서 사용을 중지합니다.
에이전트의 ID 및 역할 변경
언제든지 에이전트의 ID 및 역할을 관리하려면 시스템 > 설정 > Microsoft Defender XDR > 피싱 심사 에이전트 > 개요 > ID 및 역할을 선택합니다.
이 페이지에서 에이전트의 현재 ID를 보고, 마지막 업데이트에 대한 세부 정보에 액세스하고, 필요한 경우 에이전트에 대한 새 ID 유형을 선택할 수 있습니다. ID를 변경하는 프로세스는 에이전트의 ID 및 역할의 초기 설정과 유사합니다.
에이전트 일시 중지 또는 다시 시작
에이전트를 일시 중지하면 진행 중인 심사 작업을 포함하여 모든 심사 작업이 일시적으로 중지됩니다. 에이전트는 다시 시작될 때까지 새 인시던트가 처리되지 않습니다. 에이전트를 다시 시작하면 모든 활동이 다시 시작되므로 들어오는 경고를 다시 심사하고 분류할 수 있습니다.
에이전트를 일시 중지하거나 다시 시작하려면 다음을 수행합니다.
Defender 포털에서 시스템 > 설정 > Microsoft Defender XDR > 피싱 심사 에이전트 > 개요를 선택합니다.
일시 중지를 선택하여 에이전트를 일시적으로 중지합니다. 일시 중지되면 단추가 다시 시작으로 업데이트되며 에이전트의 활동을 다시 활성화할 준비가 되면 선택할 수 있습니다.
에이전트 제거
에이전트를 제거하면 에이전트가 영구적으로 비활성화됩니다. 제거되면 새 인시던트에 대한 심사 및 분류가 중지되고 모든 피드백이 삭제됩니다. 그러나 이전에 심사된 인시던트 기록은 참조를 위해 유지됩니다.
에이전트를 제거하려면 다음을 수행합니다.
- 시스템 > 설정 > Microsoft Defender XDR > 피싱 심사 에이전트 > 개요를 선택합니다.
- 에이전트 제거를 선택합니다.
질문과 대답
다음은 피싱 심사 에이전트에 대한 일반적인 질문과 대답입니다. 에이전트의 기능 및 요구 사항에 대한 자세한 내용은 이 문서의 에이전트 작동 방식 및 필수 구성 요소 섹션을 참조하세요.
에이전트는 언제 트리거되나요?
사용자가 잠재적인 피싱 시도를 보고하고 경고가 생성되면 에이전트가 자동으로 실행됩니다.
피싱 심사 에이전트가 중요한 이유는 무엇인가요?
피싱은 공격자가 시스템에 처음 액세스하는 가장 일반적인 방법 중 하나입니다. 보안 도구는 대부분의 위협을 효과적으로 차단하지만, 일부는 여전히 받은 편지함을 압도하고 의심스러운 이메일이 합법적 인 피싱 시도인지 무해한 스팸인지 여부를 전자 메일 사용자에게 불확실하게 만듭니다. 이러한 불확실성은 종종 사용자가 제출한 보고서의 유입으로 이어집니다. 따라서 이러한 인시던트 관리는 SOC(보안 운영 센터) 분석가에게 지루하고 반복적인 작업이 됩니다. 각 경고에는 최대 30분의 수동 심사가 필요할 수 있으며, 소음 속에서 진정한 위협을 찾기 위해 대량의 인시던트를 선별하는 데 상당한 노력이 필요할 수 있습니다. 이러한 노력은 중요한 요구를 완료하는 데 전념할 시간이 제한된 분석가를 압도합니다. 피싱 심사 에이전트는 사후 작업의 부담을 완화함으로써 분석가가 사전 보안 조치에 집중할 수 있도록 지원하여 궁극적으로 조직의 전반적인 보안 태세를 강화합니다.
피싱 심사 에이전트를 신뢰할 수 있나요?
Microsoft AI 에이전트는 엄격한 책임 있는 AI 지침을 따르고 철저한 검토를 거쳐 모든 AI 표준 및 안전 장치를 준수합니다. Security Copilot 피싱 심사 에이전트는 이러한 컨트롤에 완전히 통합됩니다. 설치하는 동안 에이전트에 ID를 할당하고 작업에 필요한 최소 권한으로 구성하여 불필요한 권한이 없는지 확인합니다. 모든 에이전트 활동은 분석가 및 관리자가 언제든지 검토할 수 있는 전체 흐름을 사용하여 자세히 기록됩니다. 에이전트가 organization 환경에 적응하는 데 도움이 되도록 에이전트에 제공된 피드백은 기록되고, 시스템에 반영되며, 필요에 따라 관리자가 검토 및 수정할 수 있도록 액세스할 수 있습니다.
에이전트는 표준 SOAR 솔루션과 어떻게 다른가요?
SOAR 솔루션과 피싱 심사 에이전트는 모두 보안 작업의 측면을 자동화하는 것을 목표로 하지만 이러한 접근 방식은 근본적으로 다릅니다. SOAR 도구는 미리 정의된 논리 및 수동 튜닝이 필요한 정적, 정책 및 규칙 기반 워크플로를 사용합니다. 반면 에이전트는 재귀 추론을 사용하여 시간이 지남에 따라 학습, 적응 및 개선과 같은 작업을 자율적으로 완료합니다.
에이전트는 모든 새로운 상황에 대해 다시 프로그래밍할 필요가 없습니다. 정의된 경계 내에서 현재 작업에 맞게 조정되므로 기존 자동화보다 훨씬 유연합니다. 경직되고 반응적이기보다는 분석가의 피드백에 따라 실제 데이터에 기반하여 환경 및 위협 환경과 함께 지속적으로 발전합니다. 보안 팀을 위해 특별히 제작된 피싱 심사 에이전트는 응답을 가속화하고 수동 워크로드를 줄여 분석가가 전략적 이니셔티브에 집중할 수 있도록 합니다.
에이전트에 대해 어떤 수준의 가시성 및 제어가 있나요?
Microsoft는 조직이 지속적인 작업을 통해 배포에서 피싱 심사 에이전트에 대한 가시성을 유지하고 제어할 수 있는 도구를 제공합니다. 에이전트는 공정성, 안정성, 안전성, 개인 정보 보호, 보안, 포용성, 투명성 및 책임에 대한 Microsoft의 RAI(책임 있는 AI) 표준을 준수합니다.
관리자는 최소 권한 원칙에 따라 설치하는 동안 에이전트의 ID 및 액세스 수준을 구성합니다. 보안 및 IT 팀은 특정 작업에 권한을 부여하고, 성능을 모니터링하고, Microsoft Defender 직접 출력을 검토할 수 있습니다. 용량 사용량 및 데이터 액세스 제한도 관리자가 구성할 수 있습니다.
피싱 심사 에이전트는 제로 트러스트 환경 내에서 작동합니다. 시스템은 각 작업의 의도 및 scope 평가하여 모든 에이전트 작업에 조직 정책을 적용합니다. 에이전트가 수행한 모든 의사 결정, 추론 및 작업은 Defender 내에서 의사 결정 트리로 투명하게 문서화되고 추적 가능성 및 규정 준수를 위해 Microsoft Purview 감사 로그에 기록됩니다.
피싱 심사 에이전트를 사용해 보고 싶습니다. Microsoft Defender 어떻게 설정해야 하나요?
에이전트를 설정하려면 Microsoft Defender Security Copilot 액세스하고 필요한 필수 조건을 충족해야 합니다. Security Copilot 등록하지 않은 경우 Security Copilot 시작을 참조하거나 Microsoft 담당자에게 문의하세요. Security Copilot 온보딩한 후 에이전트 설정 옵션을 Microsoft Defender 포털에서 사용할 수 있게 되는 데 약간의 시간이 걸릴 수 있습니다.
피싱 심사 에이전트를 시도했습니다. organization 에이전트에 필요한 SCU 용량을 예측하려면 어떻게 해야 하나요?
설정 후 에이전트는 평가 기간이 종료될 때 작업 영역에 대해 프로비전된 SCU 사용을 자동으로 시작합니다.
organization 정상 에이전트 작업에 충분한 SCU가 있는지 확인하는 것이 중요합니다. SCU 사용량을 평가하고 용량을 계획하려면 Security Copilot 포털의 사용량 모니터링 dashboard 참조하고 Microsoft Security Copilot 포함 모델의 일부로 SCU를 받을 자격이 있는지 여부를 검사. dashboard 다음을 보여줍니다.
- 처리된 전자 메일당 비용
- 시간 경과에 따른 용량 사용량
더 자세한 분석을 위해 dashboard 데이터를 Excel로 내보내고 에이전트 작업만 필터링할 수도 있습니다.
SCU 사용량 요구 사항을 평가한 후 organization 대한 SCU 용량을 업데이트합니다. SCU 관리에 대한 자세한 내용은 Security Copilot 보안 컴퓨팅 단위 사용 관리를 참조하세요.