Aktivieren eines benutzerdefinierten Plug-Ins
In dieser Übung experimentieren Sie mit einem benutzerdefinierten Plug-In. Zunächst überprüfen Sie in den Besitzereinstellungen, wer eigene benutzerdefinierte Plug-Ins hinzufügen und verwalten kann und wer benutzerdefinierte Plug-Ins für alle Benutzer in der Organisation hinzufügen und verwalten kann. Nachdem Sie die Besitzeinstellungen konfiguriert haben, laden Sie die Datei für Ihr benutzerdefiniertes Plug-In hoch. Durch das Hochladen des Manifests wird Copilot die Plug-In-Funktion hinzugefügt. Nachdem das Plug-In hinzugefügt wurde, überprüfen Sie, ob es als Systemfunktion angezeigt wird, und beginnen mit der Verwendung.
Die Erstellung der YAML- oder JSON-Plug-In-Manifestdatei, in der die Metadaten zum Plug-In und dessen Aufruf beschrieben werden, gehört nicht zum Umfang dieses Inhalts, aber Sie können unter Erstellen eigener benutzerdefinierter Plug-Ins weitere Informationen erhalten.
Hinweis
Die Umgebung für diese Übung ist eine Simulation, die aus dem Produkt generiert wird. Da es sich um eine eingeschränkte Simulation handelt, werden Links auf einer Seite möglicherweise nicht aktiviert, und textbasierte Eingaben, die außerhalb des angegebenen Skripts liegen, werden möglicherweise nicht unterstützt. Es wird eine Popupnachricht angezeigt, die besagt: „Dieses Feature ist innerhalb der Simulation nicht verfügbar“. Wählen Sie in diesem Fall „OK“ aus, und fahren Sie mit den Übungsschritten fort.
Außerdem wurde Microsoft Security Copilot zuvor als Microsoft Copilot for Security bezeichnet. Während dieser Simulation werden Sie feststellen, dass die Benutzeroberfläche weiterhin den ursprünglichen Namen verwendet.
Übung
Für diese Übung sind Sie als Avery Howard angemeldet und haben die Rolle „Copilot-Besitzer“. Sie werden in Microsoft Security Copilot arbeiten und auf ein GitHub-Repository zugreifen, um die Beispielmanifestdatei für das Plug-In herunterzuladen.
Diese Übung sollte ungefähr 10 Minuten dauern.
Hinweis
Wenn Sie durch eine Labanweisung dazu aufgefordert werden, einen Link zur simulierten Umgebung zu öffnen, wird in der Regel empfohlen, den Link in einem neuen Browserfenster zu öffnen, damit Sie die Anweisungen und die Übungsumgebung gleichzeitig anzeigen können. Wählen Sie dazu die Option mit der rechten Maustaste aus.
Vor der Installation
Für diese Übung werden Sie die YAML-Beispieldatei „KQL_DefenderExample.yaml“ verwenden.
Wählen Sie den Link KQL_DefenderExample.yaml aus, um auf die Beispieldatei zuzugreifen.
Wählen Sie das Symbol Unformatierte Datei herunterladen aus. Speichern Sie die Datei auf Ihrem lokalen Computer, da Sie sie später benötigen.
Da dies eine Simulation ist, können Sie alternativ eine Datei mit dem Namen „KQL_DefenderExample.yaml“ erstellen. Für die Simulation spielt der Inhalt der erstellten Datei keine Rolle. Die in der Simulation angezeigten Systemeigenschaften und Promptantworten basieren jedoch auf der tatsächlichen Datei.
Aufgabe: Aktualisieren der Besitzereinstellungen für benutzerdefinierte Plug-Ins
In dieser Aufgabe konfigurieren Sie Copilot so, dass Copilot-Besitzer und Mitwirkende ihre eigenen benutzerdefinierten Plug-Ins für alle in der Organisation hinzufügen und verwalten können.
Öffnen Sie die simulierte Umgebung, indem Sie den folgenden Link auswählen: Microsoft Security Copilot.
Wählen Sie das Startmenü (Hamburger-Symbol) aus.
Wählen Sie Besitzereinstellungen aus.
Unter „Plug-Ins für Security Copilot“,
- die Option „Wer kann eigene benutzerdefinierte Plug-Ins hinzufügen und verwalten“ auf Mitwirkende und Besitzer fest.
- Legen Sie „Wer kann benutzerdefinierte Plug-Ins für alle in der Organisation hinzufügen und verwalten“ auf Mitwirkende und Besitzer fest.
Kehren Sie zur Startseite zurück. Wählen Sie Microsoft Security Copilot neben dem Startmenüsymbol (Hamburger) aus.
Aufgabe: Hochladen der Datei für Ihr benutzerdefiniertes Plug-In
In dieser Aufgabe laden Sie die Datei mit dem Namen „KQL_DefenderExample.yaml“ hoch, die Sie im Abschnitt „Vorbereitung“ dieser Übung heruntergeladen haben.
Wählen Sie auf der Prompt-Leiste auf der Copilot-Startseite das Symbol Quellen aus.
Scrollen Sie im Fenster „Quellen verwalten“ nach unten, bis Sie zu den benutzerdefinierten Plug-Ins gelangen. Wählen Sie die Schaltfläche Plug-In hinzufügen aus. Dadurch wird das Fenster „Plug-In hinzufügen“ geöffnet.
Stellen Sie im Fenster „Plug-In hinzufügen“ sicher, dass die Einstellung für „Wer kann dieses Plug-In verwenden“ auf Nur ich festgelegt ist.
Wählen Sie für diese Übung das Security Copilot-Plug-In aus, da dies das Format für die YAML-Datei Ihres benutzerdefinierten Plug-Ins ist.
Wählen Sie im daraufhin angezeigten Uploadfeld die Option Datei hochladen und dann die Datei KQL_DefenderExample.yaml aus, die Sie zuvor auf Ihren lokalen Computer heruntergeladen haben, und wählen Sie dann Hinzufügen aus.
Das Plug-In wurde auf der Seite mit benutzerdefinierten Plug-Ins hinzugefügt und aktiviert. Beachten Sie das private Tag.
Wählen Sie das Symbol Einstellungen. Das Symbol „Einstellungen“ zeigt grundlegende Plug-In-Informationen an. Beachten Sie den Namen und die kurze Beschreibung. Dies ist ein einfaches Beispiel-Plug-In, sodass keine Konfigurationsparameter konfiguriert werden müssen. Wenn API-Schlüssel oder Anmeldeinformationen für das Plug-In erforderlich sind, ist dies der Ort, an dem sie konfiguriert werden, wie in der Übung, in der Sie das Microsoft Sentinel-Plug-In konfiguriert haben. Hier können Sie das Plug-In auch löschen. Wählen Sie Abbrechen, um die Seite zu verlassen.
Schließen Sie das Fenster „Quellen verwalten“, indem Sie oben rechts im Fenster das X auswählen.
Aufgabe: Testen des benutzerdefinierten Plug-Ins
In dieser Aufgabe überprüfen Sie, ob auf die durch das Plug-In aktivierte Funktion über das Promptsymbol zugegriffen werden kann, und testen sie.
Wählen Sie auf der Prompt-Leiste das Symbol Prompts aus.
Wählen Sie Alle Systemfunktionen anzeigen.
Scrollen Sie ganz nach unten zum Plugin Mein Defender KQL-Beispiel. Unter dem Namen des Plug-Ins ist die Funktion (Prompt) aufgeführt, die vom Plug-In aktiviert wird. Wählen Sie Abrufen der neuesten E-Mails nach Empfänger aus, um den Prompt auszuführen. Bei Bedarf können Sie künftig nach diesem Funktionsnamen (Prompt) suchen.
Geben Sie die E-Mail-Adresse eines Benutzers ein, dessen E-Mails Sie überwachen müssen: nosv32@woodgrove.ms.
Wie bei jedem Prompt können Sie die Antwort auswählen und sie an die Pinwand heften, sie freigeben, bearbeiten und vieles mehr.
Überprüfung
In dieser Übung haben Sie ein benutzerdefiniertes Plug-In aktiviert, indem Sie die YAML-Datei für das Plug-In hochgeladen und dann die vom Plug-In unterstützte Funktion getestet haben.