Настройка подключаемого модуля Microsoft Sentinel

  • 15 мин

В этом упражнении вы настроите подключаемый модуль Microsoft Sentinel и запустите некоторые тестовые запросы, чтобы убедиться, что Copilot использует подключаемый модуль.

Примечание.

Среда для этого упражнения — это имитация, созданная из продукта. В качестве ограниченного моделирования ссылки на странице могут не быть включены, а текстовые входные данные, которые находятся за пределами указанного скрипта, могут не поддерживаться. Всплывающее сообщение отобразит сообщение "Эта функция недоступна в моделировании". Когда это происходит, нажмите кнопку "ОК" и продолжайте действия упражнения.
Снимок экрана всплывающего окна, указывающий, что эта функция недоступна в моделировании.

Кроме того, Microsoft Security Copilot ранее называется Microsoft Copilot для безопасности. На протяжении всего этого моделирования вы увидите, что пользовательский интерфейс по-прежнему отражает исходное имя.

Упражнения

Для этого упражнения вы вошли в систему как Avery Howard и имеете роль владельца Copilot. Вы будете работать как в портал Azure, так и в автономном интерфейсе Microsoft Security Copilot.

Это упражнение должно занять около 15 минут.

Примечание.

При вызове инструкции лаборатории для открытия ссылки на имитированную среду рекомендуется открыть ссылку в новом окне браузера, чтобы одновременно просмотреть инструкции и среду упражнений. Для этого выберите нужный ключ мыши и выберите этот параметр.

Задача. Тестирование запроса Microsoft Sentinel

При работе с технологией, это не редкость, чтобы попытаться использовать функцию, а затем понять, после некоторых проблем съемки, что вы забыли включить эту функцию. В этой первой задаче вы протестируете запрос Microsoft Sentinel с отключенным подключаемым модулем Microsoft Sentinel. Вы проходите эту задачу, чтобы получить информацию, предоставленную в журнале процессов, которая помогает устранить проблему.

  1. Откройте имитированную среду, выбрав эту ссылку: Microsoft Security Copilot.

  2. В строке запроса введите запрос Сводка инцидента Microsoft Sentinel 30342. Вы можете скопировать и вставить запрос в строку запроса. Затем щелкните значок запуска.

  3. В журнале процессов Copilot показано, что он не может завершить запрос. Разверните элементы в журнале процессов для получения более подробных сведений.

Задача. Настройка и включение подключаемого модуля Microsoft Sentinel

В этой задаче вы настроите подключаемый модуль Sentinel. Для этого необходимо получить необходимые сведения портал Azure.

  1. В строке запроса выберите значок Значок источниковисточников.

  2. На странице "Управление источниками" разверните представление подключаемых модулей Майкрософт, выбрав "Показать еще 11 " и прокрутите вниз, пока Microsoft Sentinel не будет видимым.

  3. Нажмите кнопку "Настройка" и запишите параметры, которые необходимо настроить. Щелкните значок сведений рядом с любым из параметров. Откройте эту вкладку браузера, вы вернетесь на эту страницу для настройки каждого параметра.

  4. Чтобы открыть ссылку на портал Azure на новой вкладке или окне, используйте правый ключ мыши: портал Azure. Важно, чтобы доступ к портал Azure и доступ к Security Copilot был доступен как отдельные вкладки браузера, так как вы будете получать доступ к обеим вкладкам для этой задачи.

    1. Выберите рабочие области Log Analytics, он должен отображаться как значок в службах Azure.
    2. Выберите рабочую область, связанную с развертыванием Sentinel. Для этого упражнения выберите Woodgrove-LogAnalyticsWorkspace.
    3. Вы должны быть на странице обзора, если не выбрать его сейчас. Здесь вы копируете сведения, необходимые для настройки подключаемого модуля Sentinel.
    4. Помните, что первый параметр, указанный на странице параметров Microsoft Sentinel, — это имя рабочей области по умолчанию. Наведите указатель мыши на имя рабочей области, пока не отобразится значок буфера обмена. Выберите " Копировать в буфер обмена".
    5. Откройте эту вкладку браузера, так как вы будете ссылаться на информацию на этой странице для каждого параметра, который будет настроен.

  5. Вернитесь на вкладку браузера Copilot. Поместите курсор мыши в поле имени рабочей области и щелкните правой кнопкой мыши, чтобы вставить содержимое буфера обмена в буфер обмена. Имя рабочей области добавляется в поле.

  6. Повторите шаги, пока не настроили оставшиеся два поля. После заполнения всех полей нажмите кнопку "Сохранить".

  7. Убедитесь, что переключатель для подключаемого модуля Sentinel включен, а затем закройте окно управления источниками, выбрав X.

Задача. Повторное тестирование запроса Microsoft Sentinel

Теперь, когда подключаемый модуль Sentinel включен, вы запустите запрос, который вы попытались ранее. При успешном выполнении запроса вы сохраните запрос на закрепленную доску и получите ссылку на сеанс, чтобы поделиться им с коллегой.

  1. После настройки подключаемого модуля необходимо создать новый сеанс для повторного запуска запроса Sentinel. В верхней части страницы выберите Microsoft Security Copilot.

  2. В строке запроса введите запрос Сводка инцидента Microsoft Sentinel 30342. Вы можете скопировать и вставить запрос в строку запроса. Затем щелкните значок запуска.

  3. В журнале процессов Copilot показано, что запрос выполнен успешно, отображая зеленые флажки.

  4. Щелкните значок поля рядом с значком Значок поля закрепления, чтобы выбрать ответ. Выбор значка Значок закрепления "Закрепить" закрепляет ответ на доску пин-кода, которая автоматически открывается. На доске пин-кода отображается сводка по закрепленным ответам.

Отзыв

В этом упражнении вы выполнили запрос, требующий включения подключаемого модуля Microsoft Sentinel. При первом запуске запроса Copilot не смог завершить запрос. Журнал процессов предоставил сведения, которые помогут устранить проблему. Затем вы настроили и включили подключаемый модуль. С включенным подключаемым модулем вы успешно выполнили запрос.