웨비나속 Q&A

Microsoft 문서에 따르면 Security Copilot은 AI 기반 탐지 정확도와 권고 정확도를 최대 40–99% 수준으로 향상시키고, MTTR을 30% 이상 단축합니다. 신규 AI 에이전트가 자동 대응을 수행하며, 대형 글로벌 고객들은 위협 통합 및 분석 자동화를 통해 SOC 운영 효율을 크게 개선했다고 보고하고 있습니다.

Microsoft Security Copilot은 Azure와 Microsoft Defender for Cloud 기반 퍼블릭 및 멀티클라우드 환경을 기본 지원하며, SaaS 보안 솔루션과 네이티브 통합됩니다. 하이브리드 구성은 추가 네트워크 구성과 보안 설정이 전제되어야 하며, 퍼블릭 클라우드만큼 원활하게 모든 기능이 지원되진 않습니다.

클라우드 서비스이므로 폐쇄망에서는 사용이 불가합니다.

Security Copilot 도입 시, Sentinel과 Defender XDR의 로그 품질과 연계 상태 확보가 가장 우선 고려되어야 합니다. 또한 데이터 접근 권한(RBAC)과 기밀 정보 처리 정책 정비가 필수 아키텍처 요건입니다.

Microsoft Security Copilot은 Entra ID 및 Defender XDR 연계를 통해 인가된 ID의 이상 행동 탐지와 보호 상태를 실시간 분석합니다. 또한 Microsoft Defender for Cloud와 통합해 클라우드 보안 posture(CSPM)와 워크로드 보호 상태(CWPP)를 지속적으로 평가합니다. 전체 클라우드 자산에 대한 계정 활동과 위협 인텔리전스를 Copilot이 요약·연관 분석해 보안 운영자에게 대응 인사이트를 제공합니다.

Security Copilot의 생성형 AI는 다중 로그와 위협 맥락을 종합 분석해 탐지 정확도를 향상시키고, 반복적 패턴 및 비정상 동작을 해석하여 false positive를 최대 30~40%까지 감소시킵니다. 이는 수작업 분석의 편차를 줄이고, 보안 분석가의 판단 효율을 실질적으로 높입니다.

답변 감사합니다.

Security Copilot은 위협 탐지를 위해 Microsoft가 자체적으로 최적화한 GPT 기반 LLM(Large Language Model)과, 보안 특화된 데이터 기반 분석 기법을 복합적으로 사용합니다.

보안 인프라와 직접 연동은 안됩니다. 다만, Splunk라는 SIEM 솔루션이나 Microsoft Sentinel이라는 SIEM 솔루션을 통해 보안 인프라와 연동을 마치셨다면 그 위에 Security Copilot을 통해 분석 및 대응하도록 구성이 가능합니다.

Security Copilot은 Microsoft MDE, MDC 등의 영역에 온보딩되어 지원이 되거나 Copilot 사이트에서 자연어로 질의응답이 가능합니다. Microsoft Sentinel(SIEM)으로 로그를 통합관리 하시면 좋습니다.