設定 Microsoft Sentinel 外掛程式

  • 15 分鐘

在這項練習,您會設定 Microsoft Sentinel 外掛程式,並執行一些測試提示,確認 Copilot 正在使用外掛程式。

注意

此練習的環境是從產品產生的模擬。 由於是有限的模擬,因此頁面上的連結可能無法啟用,而且可能不支援超出指定指令碼的文字型輸入。 將顯示一則快顯訊息,指出「此功能無法在模擬內使用」。發生這種情況時,請選取 [確定],然後繼續進行練習步驟。
快顯畫面的螢幕擷取畫面,其中指出「此功能無法在模擬內使用」。

此外,Microsoft Security Copilot 先前稱為 Microsoft Copilot for Security。 在此模擬中,您會發現使用者介面仍會反映原始名稱。

練習

在此練習中,您已以 Avery Howard 身分登入,且具有 Copilot 擁有者角色。 您將同時在 Azure 入口網站和 Microsoft Security Copilot 的獨立體驗中工作。

完成本練習大概需要 15 分鐘。

注意

當實驗室指令呼叫開啟模擬環境的連結時,通常建議您在新瀏覽器視窗中開啟連結,以便同時檢視指示和練習環境。 若要這樣做,請選取滑鼠右鍵,然後選取選項。

工作:測試 Microsoft Sentinel 提示

應用科技時,很常在試用某項功能後發現,忘記在疑難排解後啟用該功能。 在第一項工作,您在停用 Microsoft Sentinel 外掛程式的情況下測試 Microsoft Sentinel 提示。 執行這項工作時,您可以接觸流程記錄檔提供的資訊,協助您針對問題進行疑難排解。

  1. 選取此連結以開啟模擬環境:Microsoft Security Copilot

  2. 從提示列輸入提示 摘要 Microsoft Sentinel 事件 30342。 您可複製提示,然後在提示列貼上。 接著,選取執行圖示。

  3. Copilot 流程記錄顯示它無法完成您的要求。 展開流程記錄檔中的項目,取得更詳細的資訊。

工作:設定並啟用 Microsoft Sentinel 外掛程式

在這項工作,您將設定 Microsoft Sentinel 外掛程式。 若要設定,您必須存取 Azure 入口網站,取得必要的資訊。

  1. 從提示列中,選取來源圖示 來源圖示

  2. 從 [管理來源] 頁面,選取 [顯示其他 11 個] 以展開 Microsoft 外掛程式的檢視,然後向下捲動到 [Microsoft Sentinel] 出現為止。

  3. 選取 [設定] 按鈕,並記下需要設定的參數。 選取任何參數旁的資訊圖示。 讓此瀏覽器索引標籤保持開啟,稍後您會為了設定各參數返回此頁面。

  4. 使用滑鼠右鍵,在新的索引標籤或視窗中開啟 Azure 入口網站的連結:Azure 入口網站。 請務必存取 Azure 入口網站,並存取 Security Copilot 作為個別瀏覽器索引標籤,因為您將存取這項工作的這兩個索引標籤。

    1. 選取 [Log Analytics 工作區],它應該會顯示為 Azure 服務下的圖示。
    2. 選取與 Microsoft Sentinel 部署相關聯的工作區。 針對這項練習,選取 [Woodgrove-LogAnalyticsWorkspace]
    3. 如果現在未選取,您應該會在 [概觀] 頁面上。 從這裡複製設定 Microsoft Sentinel 外掛程式需要的資訊。
    4. 請回顧一下,Microsoft Sentinel 設定頁面所列的第一個參數是預設工作區名稱。 將滑鼠停留在工作區名稱上方,直到剪貼簿圖示顯示為止。 選取 [複製到剪貼簿]
    5. 讓此瀏覽器索引標籤保持開啟,因為您稍後會在這個頁面參考每個要設定之參數的資訊。

  5. 切換回 Copilot 瀏覽器索引標籤。將滑鼠游標置於工作區名稱欄位,然後以滑鼠右鍵按一下,將剪貼簿的內容貼到剪貼簿。 工作區名稱會新增至欄位。

  6. 重複這些步驟,直到其餘兩個欄位設定完成為止。 所有欄位皆填入資料之後,請選取 [儲存]

  7. 請確定已啟用 Microsoft Sentinel 外掛程式的切換開關,然後選取 [X] 關閉管理來源視窗。

工作:重設 Microsoft Sentinel 提示

現在 Microsoft Sentinel 外掛程式已啟用,您將會執行先前嘗試的提示。 成功執行提示後,將提示儲存到釘選面板,然後取得工作階段的連結,以便與同事分享。

  1. 設定外掛程式之後,您必須建立新的工作階段以執行 Microsoft Sentinel 提示。 從頁面頂端選取 [Microsoft Security Copilot]

  2. 從提示列輸入提示 摘要 Microsoft Sentinel 事件 30342。 您可複製提示,然後在提示列貼上。 接著,選取執行圖示。

  3. Copilot 流程記錄顯示綠色勾號,就是說明提示已順利執行。

  4. 選取釘選圖示旁的方塊圖示方塊圖示,以選取回應。 選取釘選圖示釘選圖示,將回應釘選到釘選面板,該面板會自動開啟。 釘選面板會顯示已釘選之回應的摘要。

檢閱

在這項練習,您所執行的提示必須啟用 Microsoft Sentinel 外掛程式。 第一次執行提示時,Copilot 無法完成要求。 流程記錄檔提供的資訊,可協助您針對問題進行疑難排解。 接著,您設定並啟用外掛程式。 外掛程式啟用後,您便可成功執行提示。