Configuración del complemento de Microsoft Sentinel

15 minutos

En este ejercicio, configurará el complemento de Microsoft Sentinel y ejecutará algunas indicaciones de prueba para confirmar que Copilot usa el complemento.

Nota:

El entorno de este ejercicio es una simulación generada a partir del producto. Al ser una simulación limitada, es posible que los vínculos de alguna página no estén habilitados y que no se admiten las entradas de texto que se encuentren fuera del script especificado. Se mostrará el siguiente mensaje emergente: "Esta característica no está disponible en la simulación". Cuando esto ocurra, seleccione Aceptar y continúe con los pasos del ejercicio.
Captura de la pantalla emergente que indica que esta característica no está disponible en la simulación.

Además, Microsoft Security Copilot se conocía anteriormente como Microsoft Copilot for Security. A lo largo de esta simulación, encontrará que la interfaz de usuario sigue reflejando el nombre original.

Ejercicio

En este ejercicio, ha iniciado sesión como Avery Howard y tiene el rol de propietario de Copilot. Trabajará en Azure Portal y en la experiencia independiente de Microsoft Copilot para seguridad.

Este ejercicio debería tardar aproximadamente 15 minutos en completarse.

Nota:

Cuando una instrucción de laboratorio llama para abrir un vínculo al entorno simulado, se recomienda generalmente abrir el vínculo en una nueva ventana del explorador para poder ver simultáneamente las instrucciones y el entorno del ejercicio. Para ello, pulse la tecla derecha del mouse y seleccione la opción.

Tarea: Probar una indicación de Microsoft Sentinel

Al trabajar con tecnología, no es raro intentar utilizar una característica y darse cuenta, después de solucionar algunos problemas, de que se olvidó de habilitarla. En esta primera tarea, probará una indicación de Microsoft Sentinel con el complemento de Microsoft Sentinel deshabilitado. Realice esta tarea para conocer la información proporcionada en el registro de procesos que le ayudará a solucionar el problema.

Para abrir el entorno simulado, seleccione este vínculo: Seguridad de Microsoft Copilot.
En la barra de indicaciones, escriba la indicación Resumir el incidente de Microsoft Sentinel 30342. Puede copiar y pegar la indicación en la barra de indicaciones. A continuación, seleccione el icono de ejecución.
El registro de procesos de Copilot muestra que no puede completar la solicitud. Expanda los elementos del registro de procesos para obtener información más detallada.

Tarea: Configurar y habilitar el complemento de Microsoft Sentinel

En esta tarea, configurará el complemento de Sentinel. Para ello, debe acceder a Azure Portal para obtener la información necesaria.

En la barra de indicaciones, seleccione el icono de orígenes .
En la página Administrar orígenes, expanda la vista de los complementos de Microsoft seleccionando Mostrar 11 más y desplácese hacia abajo hasta que aparezca Microsoft Sentinel.
Seleccione el botón Configurar y anote los parámetros que deben configurarse. Seleccione el icono de información situado junto a cualquiera de los parámetros. Mantenga abierta esta pestaña del explorador, volverá a esta página para que se configure cada parámetro.
Use el botón derecho del mouse para abrir el vínculo a Azure Portal en una nueva pestaña o ventana: Azure portal. Es importante que el acceso a Azure Portal y el acceso a Copilot para seguridad estén disponibles como pestañas independientes en el explorador, ya que accederá a ambas pestañas para esta tarea.
1. Seleccione Áreas de trabajo de Log Analytics, debe mostrarse como un icono en Servicios de Azure.
2. Seleccione el área de trabajo asociada a la implementación de Sentinel. Para este ejercicio, seleccione Woodgrove-LogAnalyticsWorkspace.
3. Debería estar en la página de información general; en caso contrario, selecciónela ahora. Desde aquí, copie la información necesaria para configurar el complemento de Sentinel.
4. Recuerde que el primer parámetro que aparece en la página de configuración de Microsoft Sentinel es el nombre del área de trabajo predeterminada. Mantenga el puntero sobre el nombre del área de trabajo hasta que se muestre el icono de Portapapeles. Seleccione Copiar en el Portapapeles.
5. Mantenga abierta esta pestaña del explorador, ya que hará referencia a la información de esta página para cada parámetro a configurar.
Vuelva a la pestaña del explorador de Copilot. Coloque el cursor del mouse en el campo del nombre del área de trabajo y haga clic con el botón derecho para pegar el contenido del Portapapeles en el Portapapeles. El nombre del área de trabajo se agrega al campo.
Repita los pasos hasta que haya configurado los dos campos restantes. Una vez rellenados todos los campos, seleccione Guardar.
Asegúrese de que el conmutador de alternancia para el complemento Sentinel está habilitado y, a continuación, cierre la ventana Administrar orígenes mediante la selección de la X.

Tarea: Volver a probar la indicación de Microsoft Sentinel

Ahora que el complemento de Sentinel está habilitado, ejecutará la indicación que intentó anteriormente. Con la indicación ejecutada correctamente, guardará la indicación en el panel de anclaje y obtendrá un vínculo a la sesión para que pueda compartirlo con un compañero.

Una vez configurado el complemento, deberá crear una nueva sesión para volver a ejecutar la indicación de Sentinel. En la parte superior de la página, seleccione Microsoft Security Copilot.
En la barra de indicaciones, escriba la indicación Resumir el incidente de Microsoft Sentinel 30342. Puede copiar y pegar la indicación en la barra de indicaciones. A continuación, seleccione el icono de ejecución.
El registro de procesos de Copilot muestra que la indicación se ejecutó correctamente mostrando marcas de verificación verdes.
Seleccione el icono de casilla junto al icono de anclaje para seleccionar la respuesta. Al seleccionar el icono de anclaje la respuesta se ancla a la placa de anclaje, que se abre automáticamente. La placa de anclaje muestra un resumen de las respuestas ancladas.

Revisar