Security Copilot은 경보 해석과 공격 맥락 요약을 자동화해 분석 시간(MTTD/MTTR)을 획기적으로 단축하는 데 가장 효과적입니다. 또한 보안 분석가의 경험 격차를 줄여 SOC 운영의 일관성과 효율성을 크게 높이는 역할을 합니다.
자연어 기반으로 프롬프트에 질의를 합니다.
각 영역에 적합한 보안솔루션을 검토해 보시면 좋은데요. Microsoft에서는 Purview 내에 메일보안, 내부정보유출방지(DLP), 문서보안(MIP) 처럼 여러 기능들이 제공이 됩니다.
아직 답변이 없습니다
경고나 인시던트의 우선 순위를 지정하여 위험도가 높은 인시던트에 집중하도록 하고, 분석된 결과는 SIEM에 쌓인 로그 기반으로 분석을 해 줍니다. 당연히 MITRE Attack의 프레임이나 TTP를 모두 근거로 합니다.
Security Copilot은 기존 SIEM을 대체한다기 보다 SIEM의 경고와 인시던트를 분석하는데 더 강력한 기능을 제공합니다. 즉, 의미 기반의 자동 분석 계층이 SIEM 위에서 동작한다고 보시면 됩니다. 기존의 탐지 룰을 직접 관리하거나 생성하는 기능은 제공하지 않습니다.
네, 자연어 기반으로 질의를 해서 인시던트 분석, 스크립트 해석 등을 지원 받을 수 있습니다.
Security Copilot 도입 시에는 기존 보안 솔루션과의 연계 상태, 데이터 품질, 접근 권한(RBAC) 구성이 적절한지 사전 점검이 중요합니다. 또한 AI가 생성하는 인사이트에 대한 검증 프로세스와 대응 자동화 범위 설정을 명확히 정의해야 안정적인 운영이 가능합니다.
https://www.microsoft.com/en-us/security/business/ai-machine-learning/microsoft-security-copilot?utm_source=chatgpt.com Microsoft 배포 문서에는 Security Copilot이 MTTR(사고 해결 시간)을 약 30% 단축했다고 하고 있으며, Forrester 리포트에 따르면 탐지 정확도 및 의사결정 속도가 기존 SIEM 대비 유의미하게 향상되었다고 합니다.
Security Copilot은 조직의 Microsoft 보안 데이터에만 접근하며, 데이터는 고객의 Azure 테넌트 내에서 처리되고 저장됩니다. Microsoft는 LLM 분석에 사용되는 데이터가 학습이나 모델 개선에 활용되지 않도록 기본 차단하며, EU GDPR, ISO/IEC 27001, FedRAMP 등 규제 준수 프레임워크를 따릅니다. 또한 조직의 **보안 정책(RBAC, DLP, Info Protection 등)**을 기반으로 AI 응답 범위와 민감 정보 접근을 제한합니다. LLM은 보안 인사이트 생성에만 활용되며, 개인정보는 Masking 처리를 통해 보호됩니다. 즉, Security Copilot은 기술적·법적 규제 대응을 내재화한 보안 친화적 AI 설계를 갖추고 있습니다.
답변 감사합니다.
귀사의 보안솔루션과 운영환경에 대한 정보를 바탕으로 오늘 세션에서 다루는 솔루션에 대한 도입이 어떤 장점이 있을지 답변 드릴 수 있을텐데요. [email protected]을 통해 상세한 내용을 질의 주시면 감사하겠습니다.
보안의 인적 자원을 확보하는 것이 어렵고, 이로 인해 보안 운영이 효율적이지 못하거나 복잡한 공격을 탐지하지 못하는 점을 AI가 해소해 줄 수 있다고 생각합니다.
Security Copilot은 기존 rule-base의 탐지 결과에 대한 정리 및 개선 방안에 대한 질의 응답을 할 수 있는 형태 입니다. 예를 들어 오탐이나 과탐이 발생한다는 상황이 발생 했을 때 탐지된 rule의 개선을 하는 등의 작업을 도움 받을 수 있다고 보시면 됩니다.
분석 근거(Traceability)으로는 출처 링크를 제공하거나 시각화(다이어그램)을 제공하게 됩니다. 설명 가능성(Explainability)으로는 자연어로 인시던트에 대한 분석 결과를 제공하고 결과에 대한 추가적인 질의가 가능합니다.
Sentinel은 SIEM 솔루션으로 통합로그를 기반으로 하기에 3rd-party에 대한 로그도 같이 수집을 하게 됩니다. Entra-ID(AzureAD)와 연동하여 UEBA기반으로 탐지 그리고 Anomalies한 부분도 탐지 할 수 있습니다.
Security Copilot은 자동화된 대응이라기 보다 AI를 통한 빠르고 효율적인 분석에 좀 더 가깝다고 할 수 있겠습니다. 자동화 된 대응은 Sentinel이나 XDR에서 제공하는 Playbook이나 Live response script 등으로 구현할 수 있겠습니다.
MTTD나 MTTR에 일반적으로 수시간에서 하루 이상의 시간이 소요되는 작업을 수분에서 수시간으로 단축할 수 있겠습니다. 인시던트의 분석은 AI가 직접 수행하기 때문에 실제로 50% ~ 90% 정도의 개선이 되지 않을까 하는 개인 의견입니다.
Security Copilot은 자격증명의 "정확성 판별" 보다는 자격증명에 대한 "비정상적인 사용 패턴"을 탐지하는 것과 이에 대한 보안 인사이트를 제공하는 등의 기능에 효과적입니다. 즉, 정상적인 사용인지에 대한 판단이나 인증 시도 및 행동 패턴을 분석하여 알려 주는 역할을 한다고 생각해 주시면 되겠습니다.
정해진 조건에 따라 탐지하는 Rule-based 탐지는 신규 공격 기법에 대한 탐지가 누락될 가능성이 있고, 데이터가 많을 수록 분석에 소요되는 시간이 길어집니다. 이런 정적이고 수동적인 한계를 보완하여 의미있는 보안 인시던트로 요약하고 자동화된 분석 흐름을 제공하는 것이 Security Copilot의 차별이고, 로그에 대한 분석을 자연어 기반으로 수행하기 때문에 보안에 대한 분석 경험이 없더라도 조금 쉽게 접근할 수 있는 것이 차별점이라고 할 수 있겠습니다.
빠른 답변 감사합니다.
씨앤토트 유튜브 채널에 1~2일 후 웨비나 영상 업로드될 예정입니다. 자료 공유는 따로 없습니다.
유튜브에서 "씨앤토트"를 검색하시면 공식 채널에서 웨비나 영상이 1~2일 내 업로드될 예정입니다. 감사합니다 :)