[Security Copilot] Security Copilot 온보딩 - SCU 프로비저닝 (1)

오늘은 Security Copilot 페이지에서 기존 Azure 구독 및 리소스 그룹을 사용/생성하여 SCU 프로비저닝을 통해 Security Copilot 을 활성화하는 과정에 대해 포스팅 합니다.

​

그 전에.. 먼저 Security Copilot 과 SCU(보안 컴퓨팅 단위)에 대해서 설명하겠습니다.

 

Security Copilot?

Security Copilot은 생성형 AI를 기반으로 위협 헌팅, 인시던트 분석, 보안 인텔리전스를 더 빠르고 쉽게 처리하도록 도와주는 보안 Copilot입니다.

M365 Copilot이 생산성 도구의 핵심이라면 Security Copilot은 말 그대로 보안 관점에서의 핵심 툴로 볼 수 있겠습니다.

최근 보안 트렌드는 AI 자동화와 Zero Trust를 함께 적용하는 흐름으로 바뀌고 있으며 Copilot은 계정/디바이스/데이터 접근을 실시간으로 확인해 보안 운영을 더 효율적으로 만드는 방향으로 발전하고 있는데요, 보안 측면에서는 Defender/Entra/Intune/Purview 데이터를 함께 분석해 위협 징후를 빨리 발견할 수 있게 해주고 최소 권한 유지나 디바이스 보호 같은 대부분의 보안 요구사항을 지원합니다.

추가로 C레벨 대상 보고 내용 및 문서화 등의 자료도 당연히 얻어볼 수 있겠네요.

핵심적으로 이런 작업들을 "짧은 시간"안에 "정확한 데이터"를 추려서 업무 효율에 있어 큰 이점을 본다는 것입니다.

​

SCU?

이 Security Copilot을 활성화하려면 먼저 Azure 구독을 준비하고 SCU(보안 컴퓨팅 단위)를 프로비저닝해야 하는 작업이 필요합니다.

여기서 SCU(보안 컴퓨팅 단위)가 Security Copilot 구동 및 비용 부분에서 굉장히 중요한 부분을 차지하기 때문에 사전 이해할 필요가 있습니다. Security Copilot은 보안 데이터를 분석하고 인시던트를 요약하며 헌팅 작업을 수행하기 위해 자체적인 계산 리소스를 사용합니다. 이때 필요한 단위가 SCU(Security Compute Unit, 보안 컴퓨팅 단위) 입니다.

• SCU는 Security Copilot이 실행하는 모든 요청과 분석 작업에 사용되며, 테넌트 내에서 공유됩니다.
• SCU는 작업 워크스페이스마다 따로 구매하는 것이 아니라 테넌트 전체가 공용으로 사용하는 구조입니다.

Security Copilot을 많이 사용할수록 SCU 사용량도 증가하므로 보안팀은 월간 사용량을 모니터링하거나, 분석량이 많을 때는 자동으로 추가 용량을 사용할 수 있도록 설정하는 등의 관리가 필요합니다. 왜냐하면.. 이 Security Copilot 비용이 만만치 않거든요..^^:; (용량이 낮은 SCU로는 프롬프트 몇번에 끝나버리기도 합니다...;;)

​

여기에 좋은 소식이라면 최근 Ignite 에서 M365 E5 구독 내 Security Copilot을 포함한다는 발표가 있었습니다.

이 경우 자동으로 프로비저닝 된다고하니 E5 구독을 보유한 조직에서는 아래 내용을 참고하면 되겠습니다.

[Security Copilot] Microsoft 365 E5 구독에 Security Copilot 포함 발표

 

이제 Security Copilot 온보딩을 진행해보겠습니다.

​

1. 테넌트와 연결할 Azure 구독을 준비합니다.​

2. Security Copilot 온보딩 페이지로 이동합니다. https://securitycopilot.microsoft.com/

3. 작업 영역 이름 및 데이터 저장소 위치를 지정합니다.

​4. Azure 구독 및 리소스 그룹을 연결하고 시간당 SCU(보안 컴퓨팅 단위)를 설정합니다.

​5. Microsoft Purview 에서 감사 데이터 로깅 화면에서 토글을 활성화 합니다.

​6. 소유자 및 기여자를 지정합니다.

​7. 설정을 완료합니다.

이후 Security Copilot 포탈을 확인할 수 있습니다. 여기까지 접근할 수 있다면 정상적으로 온보딩이 된 것입니다.

​

이렇게 Security Copilot 온보딩을 완료하였습니다.

처음에는 조금 생소할 수 있지만 실제로 운영해보면 Security Copilot이 얼마나 많은 보안 작업을 대신 처리해주는지 자연스럽게 체감하게 됩니다. 조직마다 분석량도 다르고 대응 방식도 다르니, 한두 달 정도 사용 패턴을 지켜보면서 우리 환경에 맞는 SCU 운영 방식으로 조정해 나가면 되겠습니다.

​

이상입니다.