配置 Microsoft Sentinel 插件
在本练习中,你将配置 Microsoft Sentinel 插件并运行一些测试提示,以确认 Copilot 正在使用该插件。
注意
本练习的环境是从产品生成的模拟。 由于是有限的模拟,因此页面上的链接可能未启用,并且不支持超出指定脚本范围的文本输入。 将显示弹出消息,指示“此功能在模拟中不可用。”发生这种情况时,请选择“确定”,并继续执行练习步骤。
练习
在本练习中,你以 Avery Howard 的身份登录,具有 Copilot 所有者角色。 你将在 Azure 门户以及 Microsoft 安全 Copilot 的独立体验中工作。
完成此练习大约需要 15 分钟。
注意
当实验室说明要求打开模拟环境的链接时,我们通常建议你在新浏览器窗口中打开该链接,这样就可以同时查看说明和练习环境。 为此,请选择鼠标右键,然后选择该选项。
任务:测试 Microsoft Sentinel 提示
在使用技术时,我们经常会尝试使用某个功能,然后在进行某些故障排除后才意识到忘记了启用该功能。 在第一个任务中,你将在禁用 Microsoft Sentinel 插件的情况下测试 Microsoft Sentinel 提示。 你将完成此任务,以便获取流程日志中提供的有助于解决问题的信息。
在提示栏中,输入提示“概述 Microsoft Sentinel 事件 30342”。 可以将此提示复制并粘贴到提示栏中。 然后选择“运行”图标。
Copilot 进程日志显示它无法完成你的请求。 请展开进程日志中的项以获取更多详细信息。
任务:配置并启用 Microsoft Sentinel 插件
在此任务中,你将配置 Sentinel 插件。 为此,你需要访问 Azure 门户来获取必要的信息。
在提示栏中,选择“源”图标
。在“管理源”页中,通过选择“显示另外 11 个”来展开 Microsoft 插件的视图并向下滚动,直到 Microsoft Sentinel 可见。
选择“设置”按钮并记下需要配置的参数。 选择任意参数旁边的信息图标。 请将此浏览器标签页保持打开状态,你稍后将返回到此页面来配置每个参数。
使用鼠标右键在新的选项卡或窗口中打开 Azure 门户的链接:Azure 门户。 请务必确保 Azure 门户和安全 Copilot 作为单独的浏览器选项卡打开,因为你将在此任务中访问这两个选项卡。
- 选择“Log Analytics 工作区”,它应显示为“Azure 服务”下的一个图标。
- 选择与你的 Sentinel 部署关联的工作区。 对于本练习,请选择“Woodgrove-LogAnalyticsWorkspace”。
- 你应该处于概述页面上,如果没有,现在请选择该页面。 在这里,你将复制配置 Sentinel 插件所需的信息。
- 回想一下,Microsoft Sentinel 设置页面上列出的第一个参数是默认工作区名称。 将鼠标悬停在该工作区名称上,直到显示剪贴板图标。 选择“复制到剪贴板”。
- 请将此浏览器标签页保持打开状态,因为你将参考此页面上要配置的每个参数的信息。
切换回 Copilot 浏览器标签页。将鼠标光标放在工作区名称字段中,然后单击右键以将剪贴板的内容粘贴到剪贴板。 工作区名称将添加到该字段。
重复这些步骤,直到配置了其余两个字段。 填充所有字段后,选择“保存”。
确保已启用 Sentinel 插件的切换开关,然后通过选择“X”关闭“管理源”窗口。
任务:重新测试 Microsoft Sentinel 提示
启用 Sentinel 插件后,你将运行你前面尝试的提示。 成功执行提示后,将提示保存到告示牌并获取会话链接,以便你可以与同事共享它。
配置完插件后,需要创建新的会话来重新运行 Sentinel 提示。 在页面顶部,选择 Microsoft Copilot for Security。
在提示栏中,输入提示“总结 Microsoft Sentinel 事件 30342”。 可以将此提示复制并粘贴到提示栏中。 然后选择“运行”图标。
Copilot 处理日志通过显示绿色的对号来表明提示执行成功。
选择“固定”图标旁边的方框图标
以选择响应。 选择“固定”图标 
可将响应固定到固定板,该板会自动打开。 固定板显示已固定的响应的摘要。
审阅
在本练习中,你运行了一个提示,以要求启用 Microsoft Sentinel 插件。 首次运行提示时,Copilot 没能完成请求。 处理日志提供了有助于排查问题的信息。 然后,你配置并启用了该插件。 启用该插件后,你已能够成功运行提示。