Konfigurera Microsoft Sentinel-plugin-programmet

  • 15 minuter

I den här övningen konfigurerar du Plugin-programmet Microsoft Sentinel och kör några testfrågor för att bekräfta att Copilot använder plugin-programmet.

Kommentar

Miljön för den här övningen är en simulering som genereras från produkten. Som en begränsad simulering kanske länkar på en sida inte är aktiverade och textbaserade indata som ligger utanför det angivna skriptet kanske inte stöds. Ett popup-meddelande visas med texten "Den här funktionen är inte tillgänglig i simuleringen". När detta inträffar väljer du OK och fortsätter övningsstegen.
Skärmbild av popup-skärmen som anger att den här funktionen inte är tillgänglig i simuleringen.

Övning

I den här övningen är du inloggad som Avery Howard och har rollen som Copilot-ägare. Du kommer att arbeta i både Azure-portalen och den fristående upplevelsen av Microsoft Copilot for Security.

Den här övningen bör ta cirka 15 minuter att slutföra.

Kommentar

När en labbinstruktion anropar för att öppna en länk till den simulerade miljön rekommenderar vi vanligtvis att du öppnar länken i ett nytt webbläsarfönster så att du samtidigt kan visa instruktionerna och träningsmiljön. Det gör du genom att välja den högra mustangenten och välja alternativet .

Uppgift: Testa en Microsoft Sentinel-prompt

När du arbetar med teknik är det inte ovanligt att prova att använda en funktion och sedan inse, efter vissa felsökningar, att du har glömt att aktivera den funktionen. I den här första uppgiften testar du en Microsoft Sentinel-prompt med Plugin-programmet Microsoft Sentinel inaktiverat. Du går igenom den här uppgiften så att du kan få exponering för informationen i processloggen som hjälper dig att felsöka problemet.

  1. Öppna den simulerade miljön genom att välja den här länken: Microsoft Copilot for Security.

  2. I promptfältet anger du kommandotolken Sammanfatta Microsoft Sentinel-incidenten 30342. Du kan kopiera och klistra in prompten i promptfältet. Välj sedan körningsikonen.

  3. Copilot-processloggen visar att den inte kan slutföra din begäran. Expandera objekten i processloggen för mer detaljerad information.

Uppgift: Konfigurera och aktivera Plugin-programmet för Microsoft Sentinel

I den här uppgiften konfigurerar du Sentinel-plugin-programmet. För att göra detta måste du komma åt Azure-portalen för att få nödvändig information.

  1. I promptfältet väljer du källikonen källikon.

  2. På sidan Hantera källor expanderar du vyn för Microsoft-plugin-program genom att välja Visa 11 till och rulla nedåt tills Microsoft Sentinel visas.

  3. Välj knappen Konfigurera och notera de parametrar som måste konfigureras. Välj informationsikonen bredvid någon av parametrarna. Håll den här webbläsarfliken öppen. Du kommer tillbaka till den här sidan för att konfigurera varje parameter.

  4. Använd höger musnyckel för att öppna länken till Azure-portalen på en ny flik eller ett nytt fönster: Azure-portalen. Det är viktigt att åtkomst till Azure-portalen och åtkomst till Copilot for Security är tillgängliga som separata webbläsarflikar, eftersom du kommer åt båda flikarna för den här uppgiften.

    1. Välj Log Analytics-arbetsytor. Den ska visas som en ikon under Azure-tjänster.
    2. Välj den arbetsyta som är associerad med sentinel-distributionen. I den här övningen väljer du Woodgrove-LogAnalyticsWorkspace.
    3. Du bör vara på översiktssidan om du inte väljer den nu. Härifrån kopierar du den information som krävs för att konfigurera Sentinel-plugin-programmet.
    4. Kom ihåg att den första parametern som visas på sidan Microsoft Sentinel-inställningar är standardarbetsytans namn. Hovra över arbetsytans namn tills Urklippsikonen visas. Välj Kopiera till Urklipp.
    5. Håll den här webbläsarfliken öppen eftersom du refererar till informationen på den här sidan för varje parameter som ska konfigureras.

  5. Växla tillbaka till webbläsarfliken Copilot. Placera musmarkören i arbetsytans namnfält och högerklicka för att klistra in innehållet i Urklipp i Urklipp. Arbetsytans namn läggs till i fältet.

  6. Upprepa stegen tills du har konfigurerat de återstående två fälten. När alla fält har fyllts i väljer du Spara.

  7. Se till att växla växeln för Sentinel-plugin-programmet är aktiverat och stäng sedan fönstret Hantera källor genom att välja X.

Uppgift: Testa Microsoft Sentinel-prompten igen

Nu när Sentinel-plugin-programmet är aktiverat kör du uppmaningen som du försökte tidigare. När kommandotolken har körts sparar du kommandotolken på pin-kortet och hämtar en länk till sessionen så att du kan dela den med en kollega.

  1. När du har konfigurerat plugin-programmet måste du skapa en ny session för att köra Sentinel-prompten igen. Längst upp på sidan väljer du Microsoft Copilot för Säkerhet.

  2. I promptfältet anger du kommandotolken Sammanfatta Microsoft Sentinel-incidenten 30342. Du kan kopiera och klistra in prompten i promptfältet. Välj sedan körningsikonen.

  3. Copilot-processloggen visar att kommandotolken har körts genom att visa gröna bockmarkeringar.

  4. Välj rutikonen lådikon bredvid fästikonen för att välja svaret. Om du väljer fästikonen pin-ikon fästs svaret på pin-kortet, som öppnas automatiskt. Pin-kortet visar en sammanfattning av de fästa svaren.

Granskning

I den här övningen körde du en uppmaning som kräver att Plugin-programmet Microsoft Sentinel är aktiverat. Första gången du körde kommandotolken kunde Copilot inte slutföra begäran. Processloggen tillhandahöll informationen som hjälper dig att felsöka problemet. Sedan konfigurerade och aktiverade du plugin-programmet. Med plugin-programmet aktiverat kunde du köra kommandotolken.