Konfigurieren des Microsoft Sentinel-Plug-In

  • 15 Minuten

In dieser Übung konfigurieren Sie das Microsoft Sentinel-Plug-In und führen einige Testaufforderungen aus, um zu bestätigen, dass Copilot das Plug-In verwendet.

Hinweis

Die Umgebung für diese Übung ist eine Simulation, die aus dem Produkt generiert wird. Da es sich um eine eingeschränkte Simulation handelt, werden Links auf einer Seite möglicherweise nicht aktiviert, und textbasierte Eingaben, die außerhalb des angegebenen Skripts liegen, werden möglicherweise nicht unterstützt. Es wird eine Popupnachricht angezeigt, die besagt: „Dieses Feature ist innerhalb der Simulation nicht verfügbar“. Wählen Sie in diesem Fall „OK“ aus, und fahren Sie mit den Übungsschritten fort.
Screenshot des Popupbildschirms, der angibt, dass dieses Feature in der Simulation nicht verfügbar ist.

Übung

Für diese Übung sind Sie als Avery Howard angemeldet und haben die Rolle „Copilot-Besitzer“. Sie arbeiten sowohl im Azure-Portal als auch in der eigenständigen Umgebung von Microsoft Copilot für Security.

Diese Übung dauert ca. 15 Minuten.

Hinweis

Wenn Sie durch eine Labanweisung dazu aufgefordert werden, einen Link zur simulierten Umgebung zu öffnen, wird in der Regel empfohlen, den Link in einem neuen Browserfenster zu öffnen, damit Sie die Anweisungen und die Übungsumgebung gleichzeitig anzeigen können. Wählen Sie dazu die rechte Maustaste und dann die Option aus.

Aufgabe: Testen einer Microsoft Sentinel-Eingabeaufforderung

Bei der Arbeit mit Technologie ist es nicht ungewöhnlich, ein Feature zu verwenden und dann nach einiger Problembehandlung zu erkennen, dass Sie vergessen haben, dieses Feature zu aktivieren. In dieser ersten Aufgabe testen Sie eine Microsoft Sentinel-Eingabeaufforderung mit deaktiviertem Microsoft Sentinel-Plug-In. Sie durchlaufen diese Aufgabe, damit Sie die im Prozessprotokoll bereitgestellten Informationen anzeigen können, die Ihnen bei der Problembehandlung helfen.

  1. Öffnen Sie die simulierte Umgebung, indem Sie den folgenden Link auswählen: Microsoft Copilot for Security.

  2. Geben Sie in der Eingabeaufforderungsleiste die Eingabeaufforderung Zusammenfassung des Microsoft Sentinel-Vorfalls 30342 ein. Sie können die Eingabeaufforderung kopieren und in die Eingabeaufforderungsleiste einfügen. Wählen Sie dann das Symbol „Ausführen“ aus.

  3. Das Copilot-Prozessprotokoll zeigt, dass es Ihre Anforderung nicht abschließen kann. Erweitern Sie die Elemente im Prozessprotokoll, um ausführlichere Informationen zu erhalten.

Aufgabe: Konfigurieren und Aktivieren des Microsoft Sentinel-Plug-Ins

In dieser Aufgabe konfigurieren Sie das Sentinel-Plug-In. Dazu müssen Sie auf das Azure-Portal zugreifen, um die erforderlichen Informationen zu erhalten.

  1. Wählen Sie auf der Prompt-Leiste das Symbol „Quellen“ Quellensymbol aus.

  2. Erweitern Sie auf der Seite „Quellen verwalten“ die Ansicht für die Microsoft-Plug-Ins, indem Sie 11 weitere anzeigen auswählen und nach unten scrollen, bis Microsoft Sentinel sichtbar ist.

  3. Wählen Sie die Schaltfläche Einrichten aus, und notieren Sie sich die Parameter, die konfiguriert werden müssen. Wählen Sie das Informationssymbol neben einem der Parameter aus. Lassen Sie diese Browserregisterkarte geöffnet und Sie kehren zu dieser Seite zurück, damit jeder Parameter konfiguriert werden kann.

  4. Verwenden Sie die rechte Maustaste, um den Link zum Azure-Portal auf einer neuen Registerkarte oder in einem neuen Fenster zu öffnen: Azure-Portal. Es ist wichtig, dass der Zugriff auf das Azure-Portal und der Zugriff auf Copilot für Security als separate Browserregisterkarten verfügbar sind, da Sie für diese Aufgabe auf beide Registerkarten zugreifen.

    1. Wählen Sie Log Analytics-Arbeitsbereiche aus. Es sollte als Symbol unter den Azure-Diensten angezeigt werden.
    2. Wählen Sie den Arbeitsbereich aus, der Ihrer Sentinel-Bereitstellung zugeordnet ist. Wählen Sie für diese Übung Woodgrove-LogAnalyticsWorkspace aus.
    3. Sie sollten sich auf der Übersichtsseite befinden, wenn sie noch nicht ausgewählt ist. Von hier aus kopieren Sie die Informationen, die zum Konfigurieren des Sentinel-Plug-Ins erforderlich sind.
    4. Denken Sie daran, dass der erste Parameter, der auf der Einstellungsseite von Microsoft Sentinel aufgeführt ist, der Name des Standardarbeitsbereichs ist. Zeigen Sie auf den Arbeitsbereichsnamen, bis das Symbol für die Zwischenablage angezeigt wird. Wählen Sie In Zwischenablage kopieren aus.
    5. Lassen Sie diese Browserregisterkarte geöffnet, während Sie auf die Informationen auf dieser Seite verweisen, damit jeder Parameter konfiguriert werden kann.

  5. Wechseln Sie zurück zur Registerkarte „Copilot Browser“. Platzieren Sie den Mauszeiger im Arbeitsbereichsnamenfeld, und klicken Sie mit der rechten Maustaste, um den Inhalt der Zwischenablage in die Zwischenablage einzufügen. Der Arbeitsbereichsname wird dem Feld hinzugefügt.

  6. Wiederholen Sie die Schritte, bis Sie die verbleibenden beiden Felder konfiguriert haben. Nachdem alle Felder aufgefüllt wurden, wählen Sie Speichern aus.

  7. Stellen Sie sicher, dass der Schalter für das Sentinel-Plug-In aktiviert ist, und schließen Sie dann das Fenster „Quellen verwalten“, indem Sie das X auswählen.

Aufgabe: Wiederholen der Microsoft Sentinel-Eingabeaufforderung

Nachdem das Sentinel-Plug-In aktiviert ist, führen Sie die Aufforderung aus, die Sie zuvor versucht hatten. Wenn der Prompt erfolgreich ausgeführt wurde, speichern Sie ihn auf der Pinnwand, und erhalten Sie einen Link zur Sitzung, damit Sie sie für Kollegen freigeben können.

  1. Nachdem Sie das Plug-In konfiguriert haben, müssen Sie eine neue Sitzung erstellen, um die Sentinel-Eingabeaufforderung wieder auszuführen. Wählen Sie oben auf der Seite Microsoft Copilot for Securityaus.

  2. Geben Sie auf der Promptleiste den Prompt Zusammenfassung des Microsoft Sentinel-Incidents 30342 ein. Sie können die Eingabeaufforderung kopieren und in die Eingabeaufforderungsleiste einfügen. Wählen Sie dann das Symbol „Ausführen“ aus.

  3. Das Copilot-Prozessprotokoll zeigt, dass die Eingabeaufforderung erfolgreich ausgeführt wurde, indem grüne Häkchen angezeigt werden.

  4. Wählen Sie das Feldsymbol Feldsymbol neben dem Stecknadelsymbol aus, um die Antwort auszuwählen. Wenn Sie das Stecknadelsymbol Anheftsymbol auswählen, wird die Antwort auf das Stecknadelboard angeheftet, das automatisch geöffnet wird. Das Stecknadelboard zeigt eine Zusammenfassung für die angehefteten Antworten.

Überprüfung

In dieser Übung haben Sie eine Eingabeaufforderung ausgeführt, die erfordert, dass das Microsoft Sentinel-Plug-In aktiviert ist. Als Sie die Eingabeaufforderung zum ersten Mal ausgeführt haben, konnte Copilot die Anforderung nicht abschließen. Das Prozessprotokoll hat die Informationen bereitgestellt, die Ihnen bei der Problembehandlung helfen. Anschließend haben Sie das Plug-In konfiguriert und aktiviert. Mit aktiviertem Plug-In konnten Sie die Eingabeaufforderung erfolgreich ausführen.