Configurare il plug-in Microsoft Sentinel

  • 15 minuti

In questo esercizio si configura il plug-in Microsoft Sentinel e si eseguono alcune richieste di test per verificare che Copilot usi il plug-in.

Nota

L'ambiente per questo esercizio è una simulazione generata dal prodotto. Come simulazione limitata, i collegamenti in una pagina potrebbero non essere abilitati e gli input basati su testo che non rientrano nello script specificato potrebbero non essere supportati. Viene visualizzato un messaggio popup che indica che questa funzionalità non è disponibile all'interno della simulazione. In questo caso, selezionare OK e continuare i passaggi dell'esercizio.

Screenshot della schermata con il messaggio popup che indica che questa funzionalità non è disponibile all'interno della simulazione.

Esercizio

Per questo esercizio si è connessi come Avery Howard e si ha il ruolo di proprietario di Copilot. Si lavora sia nel portale di Azure che nell'esperienza autonoma di Microsoft Security Copilot.

Il completamento di questo esercizio richiede circa 15 minuti.

Nota

Quando un'istruzione lab chiama l'apertura di un link all'ambiente simulato, si consiglia di aprire il collegamento in una nuova finestra del browser in modo da visualizzare contemporaneamente le istruzioni e l'ambiente di esercizio. A tale scopo, selezionare il tasto destro del mouse e selezionare l'opzione.

Attività: testare un prompt di Microsoft Sentinel

Quando si lavora con la tecnologia, può succedere di provare a usare una funzionalità e poi rendersi conto, dopo aver dedicato tempo a risolvere un problema, di aver dimenticato di abilitarla. In questa prima attività si testa una richiesta di Microsoft Sentinel con il plug-in Microsoft Sentinel disabilitato. Si esegue questa attività in modo che sia possibile visualizzare le informazioni fornite nel log di processo che consentono di risolvere il problema.

  1. Aprire l'ambiente simulato selezionando questo collegamento: Microsoft Security Copilot.

  2. Nella barra delle richieste immettere la richiesta Riepiloga l'evento imprevisto 30342 di Microsoft Sentinel. È possibile copiare e incollare la richiesta nella barra delle richieste. Selezionare quindi l'icona esegui.

  3. Il log del processo Copilot mostra che non è possibile completare la richiesta. Espandere gli elementi nel log di processo per informazioni più dettagliate.

Attività: configurare e abilitare il plug-in di Microsoft Sentinel

In questa attività viene configurato il plug-in Microsoft Sentinel. A tale scopo, è necessario accedere al portale di Azure per ottenere le informazioni necessarie.

  1. Nella barra delle richieste selezionare l'icona originiicona origini.

  2. Nella pagina Gestisci origini, espandere la visualizzazione dei plug-in Microsoft selezionando Mostra altri 11 e scorrere verso il basso fino a quando non è visibile Microsoft Sentinel.

  3. Selezionare il pulsante Configura e annotare i parametri da configurare. Selezionare l'icona delle informazioni accanto a uno dei parametri. Tenere aperta la scheda del browser, si tornerà a questa pagina per la configurazione di ogni parametro.

  4. Usare il tasto destro del mouse per aprire il collegamento al portale di Azure in una nuova scheda o finestra: Portale di Azure. È importante che l'accesso al portale di Azure e l'accesso a Security Copilot siano disponibili come schede del browser separate, perché si accederà a entrambe per questa attività.

    1. Selezionare Aree di lavoro Log Analytics, che dovrebbe essere visualizzata come icona in Servizi di Azure.
    2. Selezionare l'area di lavoro associata alla distribuzione di Microsoft Sentinel. Per questo esercizio selezionare Woodgrove-LogAnalyticsWorkspace.
    3. Si dovrebbe essere nella pagina di panoramica; se così non fosse selezionarla ora. Da qui si copiano le informazioni necessarie per configurare il plug-in di Microsoft Sentinel.
    4. Si tenga presente che il primo parametro elencato nella pagina delle impostazioni di Microsoft Sentinel è il nome dell'area di lavoro predefinita. Passare il puntatore del mouse sul nome dell'area di lavoro fino a quando non viene visualizzata l'icona degli appunti. Selezionare Copia negli appunti.
    5. Tenere aperta questa scheda del browser perché si farà riferimento alle informazioni in questa pagina per ogni parametro da configurare.

  5. Tornare alla scheda del browser Copilot. Posizionare il cursore del mouse nel campo nome dell'area di lavoro e fare clic con il pulsante destro del mouse per incollare il contenuto degli appunti negli appunti. Il nome dell'area di lavoro viene aggiunto al campo.

  6. Ripetere i passaggi fino a quando non sono stati configurati i due campi rimanenti. Dopo aver popolato tutti i campi, selezionare Salva.

  7. Assicurarsi di attivare o disattivare l'opzione per il plug-in di Microsoft Sentinel, quindi chiudere la finestra di gestione delle origini selezionando la X.

Attività: ripetere il test del prompt di Microsoft Sentinel

Ora che il plug-in Microsoft Sentinel è abilitato, eseguire il prompt provato in precedenza. Con la richiesta eseguita correttamente, salvare il prompt nella bacheca dei pin e ottenere un collegamento alla sessione in modo da poterlo condividere con un collega.

  1. Dopo aver configurato il plug-in, è necessario creare una nuova sessione per eseguire di nuovo il prompt di Microsoft Sentinel. Nella parte superiore della pagina selezionare Microsoft Security Copilot.

  2. Nella barra delle richieste, immettere la richiesta Riepiloga l'evento imprevisto 30342 di Microsoft Sentinel. È possibile copiare e incollare la richiesta nella barra delle richieste. Selezionare quindi l'icona esegui.

  3. Il log del processo Copilot indica che la richiesta è stata eseguita correttamente mostrando i segni di spunta verdi.

  4. Selezionare l' icona della casella di icona della casella accanto all'icona a forma di puntina per selezionare la risposta. Selezionando l'icona Pinicona a forma di puntina la risposta viene aggiunta alla bacheca, che si apre automaticamente. La bacheca mostra un riepilogo per le risposte aggiunte.

Verifica

In questo esercizio è stata eseguita una richiesta per cui è necessario abilitare il plug-in Microsoft Sentinel. La prima volta che è stata eseguita la richiesta, Copilot non è riuscito a completarla. Il log del processo ha fornito le informazioni che hanno consentito di risolvere il problema. È stato quindi configurato e abilitato il plug-in. Con il plug-in abilitato è stato possibile eseguire correttamente la richiesta.