Konfigurace modulu plug-in Microsoft Sentinel

  • 15 min

V tomto cvičení nakonfigurujete modul plug-in Microsoft Sentinel a spustíte několik testovacích výzev k potvrzení, že Copilot používá modul plug-in.

Poznámka:

Prostředí pro toto cvičení je simulace generovaná z produktu. Jako omezenou simulaci nemusí být odkazy na stránce povoleny a textové vstupy, které spadají mimo zadaný skript, nemusí být podporovány. Zobrazí se automaticky otevíraná zpráva s informací, že tato funkce není v rámci simulace dostupná. Pokud k tomu dojde, vyberte OK a pokračujte v krocích cvičení.
Snímek obrazovky s automaticky otevíranou obrazovkou označující, že tato funkce není v simulaci dostupná

Společnost Microsoft Security Copilot se také dříve označovala jako Microsoft Copilot for Security. V této simulaci zjistíte, že uživatelské rozhraní stále odráží původní název.

Cvičení

V tomto cvičení jste přihlášeni jako Avery Howard a máte roli vlastníka Copilotu. Budete pracovat na webu Azure Portal i na samostatném prostředí Microsoft Security Copilot.

Dokončení tohoto cvičení by mělo trvat přibližně 15 minut.

Poznámka:

Když cvičení volá otevření odkazu na simulované prostředí, obecně se doporučuje otevřít odkaz v novém okně prohlížeče, abyste mohli zobrazit pokyny a prostředí cvičení. Uděláte to tak, že vyberete správnou klávesu myši a vyberete možnost.

Úkol: Otestování výzvy služby Microsoft Sentinel

Při práci s technologií není neobvyklé vyzkoušet funkci a pak si uvědomit, že po nějakém potížím jste zapomněli tuto funkci povolit. V této první úloze otestujete výzvu Microsoft Sentinelu se zakázaným modulem plug-in Microsoft Sentinel. Projdete tuto úlohu, abyste mohli získat informace uvedené v protokolu procesů, které vám pomůžou tento problém vyřešit.

  1. Otevřete simulované prostředí výběrem tohoto odkazu: Microsoft Security Copilot.

  2. Na panelu výzvy zadejte výzvu Sumarizovat incident Microsoft Sentinelu 30342. Výzvu můžete zkopírovat a vložit do panelu výzvy. Pak vyberte ikonu spuštění.

  3. Protokol procesu Copilotu ukazuje, že nemůže dokončit vaši žádost. Podrobnější informace zobrazíte rozbalením položek v protokolu procesu.

Úloha: Konfigurace a povolení modulu plug-in Microsoft Sentinel

V této úloze nakonfigurujete modul plug-in Sentinel. K tomu potřebujete přístup k webu Azure Portal, abyste získali potřebné informace.

  1. Na panelu výzvy vyberte ikonu ikona zdrojezdroje .

  2. Na stránce spravovat zdroje rozbalte zobrazení modulů plug-in Microsoftu tak , že vyberete Zobrazit 11 dalších možností a posunete se dolů, dokud se Microsoft Sentinel nezobrazí.

  3. Vyberte tlačítko Nastavit a poznamenejte si parametry, které je potřeba nakonfigurovat. Vyberte ikonu informací vedle některého z parametrů. Nechte tuto kartu prohlížeče otevřenou, vrátíte se na tuto stránku, aby se každý parametr nakonfiguroval.

  4. Pomocí pravé klávesy myši otevřete odkaz na web Azure Portal na nové kartě nebo okně: Azure Portal. Je důležité, aby byl přístup k webu Azure Portal a přístup ke službě Security Copilot k dispozici jako samostatné karty prohlížeče, protože pro tuto úlohu budete mít přístup k oběma kartám.

    1. Vyberte pracovní prostory Log Analytics, měly by se zobrazit jako ikona ve službách Azure.
    2. Vyberte pracovní prostor přidružený k vašemu nasazení služby Sentinel. V tomto cvičení vyberte Woodgrove-LogAnalyticsWorkspace.
    3. Měli byste být na stránce přehledu, pokud ji teď nevyberete. Odtud zkopírujete informace potřebné ke konfiguraci modulu plug-in Sentinel.
    4. Vzpomeňte si, že první parametr uvedený na stránce nastavení Služby Microsoft Sentinel je výchozí název pracovního prostoru. Najeďte myší na název pracovního prostoru, dokud se nezobrazí ikona schránky. Vyberte Kopírovat do schránky.
    5. Nechte tuto kartu prohlížeče otevřenou, protože budete odkazovat na informace na této stránce, aby se každý parametr nakonfiguroval.

  5. Přepněte zpět na kartu prohlížeče Copilot. Umístěte kurzor myši do pole názvu pracovního prostoru a kliknutím pravým tlačítkem myši vložte obsah schránky do schránky. Název pracovního prostoru se přidá do pole.

  6. Opakujte kroky, dokud nenakonfigurujete zbývající dvě pole. Jakmile se vyplní všechna pole, vyberte Uložit.

  7. Ujistěte se, že je povolený přepínač modulu plug-in Sentinel, a potom zavřete okno správy zdrojů výběrem symbolu X.

Úkol: Opětovné otestování výzvy služby Microsoft Sentinel

Teď, když je modul plug-in Sentinel povolený, spustíte výzvu, kterou jste vyzkoušeli dříve. Po úspěšném spuštění výzvy uložíte výzvu na panel připnutí a zobrazí se odkaz na relaci, abyste ji mohli sdílet s kolegou.

  1. Jakmile modul plug-in nakonfigurujete, musíte vytvořit novou relaci pro opětovné spuštění výzvy služby Sentinel. V horní části stránky vyberte Microsoft Security Copilot.

  2. Na panelu výzvy zadejte výzvu Sumarizovat incident Microsoft Sentinelu 30342. Výzvu můžete zkopírovat a vložit do panelu příkazového řádku. Pak vyberte ikonu spuštění.

  3. Protokol procesu Copilot ukazuje, že se výzva úspěšně spustila zobrazením zelených značek zaškrtnutí.

  4. Výběrem ikony pole vedle ikony ikona pole připnutí vyberte odpověď. Výběrem ikony Ikona připnutí Připnout připne odpověď na panel připnutí, který se automaticky otevře. Na panelu připnutí se zobrazí souhrn připnutých odpovědí.

Přehled

V tomto cvičení jste spustili výzvu, která vyžaduje povolení modulu plug-in Microsoft Sentinel. Při prvním spuštění výzvy nebyl Copilot schopen žádost dokončit. Protokol procesu poskytl informace, které vám pomůžou s řešením tohoto problému. Pak jste nakonfigurovali a povolili modul plug-in. S povoleným modulem plug-in jste mohli úspěšně spustit výzvu.