启用自定义插件
在本练习中,你将试用自定义插件。 首先,检查所有者设置,了解谁可以添加和管理自己的自定义插件,以及谁可以为组织中的每个人添加和管理自定义插件。 配置完所有者设置后,可以上传自定义插件的文件。 上传文件会为 Copilot 添加插件功能。 添加插件后,验证其是否显示为系统功能,然后开始使用。
对 YAML 或 JSON 插件清单文件的创建(它们描述有关插件的元数据以及如何调用它)超出了此内容的范围,但你可以通过访问创建你自己的自定义插件来获取详细信息。
注意
本练习的环境是从产品生成的模拟。 由于是有限的模拟,因此页面上的链接可能未启用,并且不支持超出指定脚本范围的文本输入。 将显示弹出消息,指示“此功能在模拟中不可用。”发生这种情况时,请选择“确定”,并继续执行练习步骤。
此外,Microsoft Security Copilot 以前被称为 Microsoft 安全 Copilot。 在此模拟中,你会发现用户界面仍然体现了原始名称。
练习
在本练习中,你以 Avery Howard 的身份登录,具有 Copilot 所有者角色。 你将在 Microsoft Security Copilot 中工作,并访问 GitHub 存储库以下载插件的示例清单文件。
完成本练习大约需要 10 分钟。
注意
当实验室说明要求打开模拟环境的链接时,我们通常建议你在新浏览器窗口中打开该链接,这样就可以同时查看说明和练习环境。 为此,请选择鼠标右键,然后选择该选项。
准备工作
在本练习中,你将使用示例 .yaml 文件“KQL_DefenderExample.yaml”。
选择链接 KQL_DefenderExample.yaml 以访问示例文件。
选择“下载原始文件 ”图标。 将文件保存到本地计算机上,因为稍后需要用到它。
另外,由于这是一个模拟,你可以创建名为“KQL_DefenderExample.yaml”的文件。 由于这是一个模拟,你创建的文件的内容并不重要。 但是,模拟中显示的系统功能和提示响应基于实际文件。
任务:更新自定义插件的所有者设置
在此任务中,你将配置 Copilot,以便 Copilot 所有者和参与者可以添加和管理其自己的自定义插件,也可以为组织中的每个人添加和管理自定义插件。
通过选择此链接打开模拟环境:Microsoft Security Copilot。
选择“主菜单”(汉堡)图标
选择“所有者设置”。
在“Security Copilot 插件”下,
- 将“谁可以添加和管理自己的自定义插件”设置为“参与者和所有者”。
- 将“谁可以为组织中的每个人添加和管理自定义插件”设置为“参与者和所有者”。
返回到登陆页面。 选择主页菜单(汉堡)图标旁边的 Microsoft Security Copilot。
任务:上传自定义插件的文件
在此任务中,上传在本练习的“开始之前”部分中下载的名为“KQL_DefenderExample.yaml”的文件。
在 Copilot 登陆页面的提示栏中,选择“源”图标。
在“管理源”窗口中,向下滚动到“自定义插件”。 选中“添加插件”按钮。 此时会打开“添加插件”窗口。
在“添加插件”窗口中,确保“谁可以使用此插件”设置为“只有我”。
在本练习中,请选择“Security Copilot 插件”,因为这是自定义插件的 .yaml 文件的格式。
从显示的上传框中,选择“上传文件”,然后选择之前下载到本地计算机的文件“KQL_DefenderExample.yaml”,然后选择“添加”。
在自定义插件页面中,插件已添加并已启用。 记下专用标记。
选择“设置”图标。 设置图标会显示基本插件信息。 记下名称和简要说明。 这是一个基本示例插件,因此没有要配置的配置参数。 如果插件需要 API 密钥或登录凭据,则应在此处进行配置,就像你之前配置 Microsoft Sentinel 插件的练习一样。 还可以在此处删除插件。 选择取消退出页面。
选择窗口右上角的“X”关闭管理资源窗口。
任务:测试自定义插件
在此任务中,你将验证插件启用的功能是否可以通过提示图标进行访问,并对其进行测试。
在提示栏中,选择“提示”图标。
选择“查看所有系统功能”。
一直向下滚动到“我的示例 Defender KQL”插件。 插件名称下面列出的是插件启用的功能(提示)。 选择“按收件人获取最新电子邮件”,运行提示。 可以根据此功能(提示)名称进行搜索,以便以后查阅。
输入电子邮件需要审核的用户的电子邮件地址:nosv32@woodgrove.ms。
与所有提示一样,可以选择响应并将其固定到固定板,还可以共享、编辑等。
审阅
在本练习中,你通过上传插件的 .yaml 文件,启用了自定义插件,然后测试了插件支持的功能。