Включение пользовательского подключаемого модуля

  • 10 мин

В этом упражнении вы экспериментируйте с пользовательским подключаемым модулем. Сначала проверьте параметры владельца, которые могут добавлять собственные пользовательские подключаемые модули и управлять ими, а также добавлять пользовательские подключаемые модули для всех пользователей в организации и управлять ими. После настройки параметров владельца отправьте файл для пользовательского подключаемого модуля. Отправка файлов добавляет возможность подключаемого модуля в Copilot. После добавления подключаемого модуля убедитесь, что он отображается как системная возможность и начинает использовать его.

Создание файла манифеста подключаемого модуля YAML или JSON, описывающего метаданные о подключаемом модуле и его вызове, выходит за рамки этого содержимого, но вы можете получить дополнительные сведения , перейдя к созданию собственных пользовательских подключаемых модулей.

Примечание.

Среда для этого упражнения — это имитация, созданная из продукта. В качестве ограниченного моделирования ссылки на странице могут не быть включены, а текстовые входные данные, которые находятся за пределами указанного скрипта, могут не поддерживаться. Всплывающее сообщение отобразит сообщение "Эта функция недоступна в моделировании". Когда это происходит, нажмите кнопку "ОК" и продолжайте действия упражнения.
Снимок экрана всплывающего окна, указывающий, что эта функция недоступна в моделировании.

Кроме того, Microsoft Security Copilot ранее называется Microsoft Copilot для безопасности. На протяжении всего этого моделирования вы увидите, что пользовательский интерфейс по-прежнему отражает исходное имя.

Упражнения

Для этого упражнения вы вошли в систему как Avery Howard и имеете роль владельца Copilot. Вы будете работать в Microsoft Security Copilot и будете получать доступ к репозиторию GitHub для скачивания примера файла манифеста для подключаемого модуля.

Это упражнение должно занять около 10 минут.

Примечание.

При вызове инструкции лаборатории для открытия ссылки на имитированную среду рекомендуется открыть ссылку в новом окне браузера, чтобы одновременно просмотреть инструкции и среду упражнений. Для этого выберите нужный ключ мыши и выберите этот параметр.

Перед началом работы

В этом упражнении вы будете использовать пример YAML-файла KQL_DefenderExample.yaml.

  1. Выберите ссылку KQL_DefenderExample.yaml , чтобы получить доступ к примеру файла.

  2. Щелкните значок "Скачать необработанный файлЗначок скачивания необработанного файла". Сохраните файл на локальном компьютере, так как вам потребуется позже.

    Кроме того, так как это имитация, можно создать файл с именем KQL_DefenderExample.yaml. Так как это имитация, содержимое создаваемого файла не будет иметь значения. Однако системные возможности и ответы запроса, отображаемые в моделировании, основаны на фактическом файле.

Задача. Обновление параметров владельца для пользовательских подключаемых модулей

В этой задаче вы настроите Copilot таким образом, чтобы владельцы и участники Copilot могли добавлять собственные пользовательские подключаемые модули и управлять ими для всех пользователей в организации.

  1. Откройте имитированную среду, выбрав эту ссылку: Microsoft Security Copilot.

  2. Выберите значок "Главная" (гамбургер)

  3. Выберите параметры владельца.

  4. В разделе подключаемых модулей для безопасности Copilot,

    1. Задайте параметру "Кто может добавлять собственные пользовательские подключаемые модули и управлять ими" для участников и владельцев.
    2. Задайте параметру "Кто может добавлять пользовательские подключаемые модули и управлять ими для всех пользователей в организации" для участников и владельцев.

  5. Вернитесь на целевую страницу. Щелкните Microsoft Security Copilot рядом с значком домашнего меню (гамбургер).

Задача. Отправка файла для пользовательского подключаемого модуля

В этой задаче вы отправляете файл с именем KQL_DefenderExample.yaml, скачанный в разделе "Перед началом" этого упражнения.

  1. На панели запроса на целевой странице Copilot выберите значок источников .

  2. В окне "Управление источниками" прокрутите вниз, пока не получите к пользовательским подключаемым модулям. Нажмите кнопку "Добавить подключаемый модуль Кнопка добавления подключаемого модуля ". Откроется окно добавления подключаемого модуля.

  3. В окне "Добавление подключаемого модуля" убедитесь, что для этого подключаемого модуля задано значение Just me.

  4. В этом упражнении выберите подключаемый модуль Security Copilot, так как это формат yaml-файла пользовательского подключаемого модуля.

  5. В появившемся поле отправки выберите "Отправить файл", а затем выберите файл, который вы ранее скачали на локальный компьютер, KQL_DefenderExample.yaml и нажмите кнопку "Добавить".

  6. На странице пользовательских подключаемых модулей добавлен подключаемый модуль и включен. Обратите внимание на частный тег.

  7. Щелкните значок "Параметры". На значке параметров отображаются основные сведения о подключаемом модуле. Запишите имя и краткое описание. Это базовый пример подключаемого модуля, поэтому для настройки параметров конфигурации нет. Если для подключаемого модуля требуются ключи API или учетные данные входа, они будут настроены, например упражнение, в котором настроен подключаемый модуль Microsoft Sentinel. Здесь также можно удалить подключаемый модуль. Нажмите кнопку "Отмена", чтобы выйти из страницы.

  8. Закройте окно "Управление источниками", выбрав X в правом верхнем углу окна.

Задача. Тестирование настраиваемого подключаемого модуля

В этой задаче проверяется возможность, включенная подключаемым модулем, можно получить с помощью значка запроса и проверить его.

  1. На панели запроса щелкните значок "Запросы ".

  2. Выберите Просмотреть все возможности системы .

  3. Прокрутите весь путь вниз, пока не получите до подключаемого модуля KQL "Мой пример Защитника". Ниже указано имя подключаемого модуля — это возможность (запрос), включенная подключаемым модулем. Выберите " Получить последние сообщения электронной почты по получателю ", чтобы запустить запрос. Для последующей ссылки можно выполнить поиск по этому имени возможности (запроса).

  4. Введите адрес электронной почты пользователя, адрес электронной почты которого необходимо проверить: nosv32@woodgrove.ms

  5. Как и в любом запросе, вы можете выбрать ответ и закрепить его на доске пин-кода, вы можете поделиться им, изменить его и многое другое.

Отзыв

В этом упражнении вы включили пользовательский подключаемый модуль, отправив yaml-файл для подключаемого модуля, а затем протестировал возможности, поддерживаемые подключаемым модулем.