A Microsoft Sentinel beépülő modul konfigurálása

  • 15 perc

Ebben a gyakorlatban konfigurálja a Microsoft Sentinel beépülő modult, és futtasson néhány tesztüzenetet annak ellenőrzéséhez, hogy a Copilot használja-e a beépülő modult.

Feljegyzés

A gyakorlat környezete a termékből létrehozott szimuláció. Korlátozott szimulációként előfordulhat, hogy egy lapon lévő hivatkozások nem engedélyezettek, és a megadott szkripten kívül eső szövegalapú bemenetek nem támogatottak. Megjelenik egy előugró üzenet: "Ez a funkció nem érhető el a szimulációban". Ha ez történik, válassza az OK gombot, és folytassa a gyakorlat lépéseit.

Képernyőkép az előugró képernyőről, amely azt jelzi, hogy ez a funkció nem érhető el a szimulációban.

Gyakorlat

Ebben a gyakorlatban Avery Howardként jelentkezik be, és a Copilot tulajdonosi szerepkörrel rendelkezik. Az Azure Portalon és a Microsoft Security Copilot önálló felületén is dolgozik.

Ez a gyakorlat körülbelül 15 percet vesz igénybe.

Feljegyzés

Amikor egy laborutasítás a szimulált környezetre mutató hivatkozás megnyitását kéri, javasoljuk, hogy egy új böngészőablakban nyissa meg a hivatkozást, hogy egyidejűleg megtekinthesse az utasításokat és a gyakorlatkörnyezetet. Ehhez válassza a jobb egérbillentyűt, és válassza a lehetőséget.

Feladat: Microsoft Sentinel-kérés tesztelése

A technológia használatakor nem ritka, hogy megpróbál egy funkciót használni, majd némi problémafelvétel után rájön, hogy elfelejtette engedélyezni ezt a funkciót. Ebben az első feladatban tesztel egy Microsoft Sentinel-parancssort, amely letiltotta a Microsoft Sentinel beépülő modult. Ezt a feladatot végighaladva a folyamatnaplóban megadott információknak való kitettséget érheti el, amely segít a probléma elhárításában.

  1. Nyissa meg a szimulált környezetet a következő hivatkozás kiválasztásával: Microsoft Security Copilot.

  2. A parancssori sávon adja meg a Microsoft Sentinel 30342-s incidens összegzése parancsot. A parancssorba másolhatja és beillesztheti a parancssort. Ezután válassza a futtatás ikont.

  3. A Copilot folyamatnaplója azt mutatja, hogy nem tudja teljesíteni a kérést. Részletesebb információkért bontsa ki a folyamatnapló elemeit.

Feladat: A Microsoft Sentinel beépülő modul konfigurálása és engedélyezése

Ebben a feladatban konfigurálja a Microsoft Sentinel beépülő modult. Ehhez hozzá kell férnie az Azure Portalhoz a szükséges információk beszerzéséhez.

  1. A parancssori sávon válassza a források ikonforrások ikont.

  2. A Források kezelése lapon bontsa ki a Microsoft beépülő modulok nézetét a 11 további megjelenítése lehetőség kiválasztásával, és görgessen lefelé, amíg a Microsoft Sentinel nem látható.

  3. Válassza a Beállítás gombot, és jegyezze fel a konfigurálni kívánt paramétereket. Válassza az információ ikont bármelyik paraméter mellett. Tartsa nyitva ezt a böngészőlapot, és visszatér erre a lapra az egyes paraméterek konfigurálásához.

  4. A jobb egérbillentyűvel megnyithatja az Azure Portalra mutató hivatkozást egy új lapon vagy ablakban: Azure Portal. Fontos, hogy az Azure Portalhoz és a Security Copilothoz való hozzáférés külön böngészőlapként legyen elérhető, mivel mindkét laphoz hozzáfér ehhez a feladathoz.

    1. Válassza ki a Log Analytics-munkaterületeket, és ikonként kell megjelennie az Azure-szolgáltatásokban.
    2. Válassza ki a Microsoft Sentinel-környezethez társított munkaterületet. Ebben a gyakorlatban válassza a Woodgrove-LogAnalyticsWorkspace lehetőséget.
    3. Az áttekintési oldalon kell lennie, ha most nem választja ki. Innen másolja a Microsoft Sentinel beépülő modul konfigurálásához szükséges információkat.
    4. Ne feledje, hogy a Microsoft Sentinel beállításai lapon szereplő első paraméter az Alapértelmezett munkaterület neve. Vigye az egérmutatót a munkaterület nevére, amíg meg nem jelenik a vágólap ikonja. Válassza a Másolás vágólapra lehetőséget.
    5. Tartsa nyitva ezt a böngészőlapot, mivel az ezen a lapon található információkra fog hivatkozni az egyes paraméterek konfigurálásához.

  5. Váltson vissza a Copilot böngészőlapjára. Helyezze az egérmutatót a munkaterület név mezőjébe, és a jobb gombbal kattintva illessze be a vágólap tartalmát a vágólapra. A munkaterület neve hozzá lesz adva a mezőhöz.

  6. Ismételje meg a lépéseket, amíg a többi két mezőt nem konfigurálta. Az összes mező kitöltése után válassza a Mentés lehetőséget.

  7. Győződjön meg arról, hogy a Microsoft Sentinel beépülő modul kapcsolója engedélyezve van, majd zárja be a források kezelése ablakot az X kiválasztásával.

Feladat: A Microsoft Sentinel parancssorának újratesztelése

Most, hogy a Microsoft Sentinel beépülő modul engedélyezve van, futtassa a korábban megkísérelt kérést. A parancssor sikeres végrehajtása után mentse az üzenetet a pin-kódtáblára, és szerezze be a munkamenetre mutató hivatkozást, hogy megoszthassa egy munkatársával.

  1. Miután konfigurálta a beépülő modult, létre kell hoznia egy új munkamenetet a Microsoft Sentinel parancssor újrafuttatásához. A lap tetején válassza a Microsoft Security Copilot lehetőséget.

  2. A parancssori sávon adja meg a Microsoft Sentinel 30342-s incidens összegzése parancsot. A parancssorba másolhatja és beillesztheti a parancssort. Ezután válassza a futtatás ikont.

  3. A Copilot folyamatnaplója azt mutatja, hogy a kérés zöld pipák megjelenítésével sikeresen végrehajtotta.

  4. Válassza ki a válasz kiválasztásához a gombostű ikon melletti doboz ikont. A Rögzítés ikon kitűzése ikon kiválasztása rögzíti a választ a kitűző táblára, amely automatikusan megnyílik. A kitűzőtábla a rögzített válaszok összegzését jeleníti meg.

Áttekintés

Ebben a gyakorlatban egy parancssort futtatott, amely megköveteli a Microsoft Sentinel beépülő modul engedélyezését. Amikor először futtatta a kérést, a Copilot nem tudta befejezni a kérést. A folyamatnapló megadta a probléma elhárításához szükséges információkat. Ezután konfigurálta és engedélyezte a beépülő modult. A beépülő modul engedélyezésével sikeresen futtatta a parancssort.