Microsoft Security Copilot를 활용한 생성형 AI (GenAI) 기반 위협 탐지

오늘날 점점 더 정교해지는 사이버 공격에 방어하기 위해서는 보안 분석가들이 진화하는 공격자의 기술 (tradecraft)을 탐지 로직 (detection logic)으로 지속적으로 변환해야 합니다. 이는 방어자를 수동적인 태세에 머물게 하며, 점점 더 파편화되는 보안 환경 전반에 걸쳐 끊임없이 업데이트되는 전문 지식을 요구합니다. 우리는 Microsoft Defender 전반에서 보안 사고를 지속적으로 조사하여 숨겨진 위협을 발견하고, 공격 시나리오 (attack-story)의 공백이 발견될 때 설명 가능한 탐지 (explainable detections)를 생성하는 상시 가동형 적응형 에이전트인 Dynamic Threat Detection Agent (DTDA)를 소개합니다. DTDA는 다음을 결합합니다: (1) 경고 (alerts), 이벤트 (events), 사용자 및 엔티티 행동 분석 (UEBA), 위협 인텔리전스 (threat intelligence)를 아우르는 통합 활동 타임라인; (2) 스키마 검증 (schema validation), 근거 제시 요구 사항 (grounding requirements), 제한된 재시도 (bounded retries), 그리고 실패 시 차단 (fail-closed suppression) 기능을 갖춘 버전 관리형 LLM 프롬프트 계약 (prompt contracts); (3) 공격 특화 가설을 생성하고 이를 뒷받침하거나 반박하는 증거를 수집하는 플래너-실행자 (planner-executor) 조사 루프; (4) 문맥에 적합한 제목, 심각도, MITRE 매핑, 복구 가이드 (remediation guidance), 연루된 엔티티, 그리고 자연어 공격 설명을 포함한 동적 경고 생성. Microsoft Security Copilot에 통합되어 수만 명의 Defender 고객에게 배포된 DTDA는 산업 규모에서 지속적으로 작동합니다. 120일간의 온라인 평가에서 DTDA는 고객 피드백을 통해 80.1%의 정밀도 (precision)를 달성했으며, 조사된 사고의 약 15%에 대해 새로운 경고를 생성했습니다. 오프라인 평가에서 DTDA는 GPT-5.4를 사용하여 0.78의 F1 점수로 숨겨진 악성 활동을 복구했으며, 이는 GPT-4.1보다 0.12 F1 점수 향상된 수치이며 베이스라인 (baseline)보다 0.26 F1 점수 높습니다. 운영 측면에서 DTDA는 단일 사고 조사를 중앙값 28분 만에 엔드 투 엔드 (end-to-end)로 처리하며, 중앙값 토큰 비용은 미화 2.04달러, 작업 수준 실패율은 0.38%입니다. 이러한 결과는 자율 에이전트 (autonomous agents)가 실제 운영 규모에서 놓친 악성 활동을 식별할 수 있음을 입증합니다.