Konfigurowanie wtyczki usługi Microsoft Sentinel

  • 15 min

W tym ćwiczeniu skonfigurujesz wtyczkę usługi Microsoft Sentinel i uruchomisz kilka monitów testowych, aby potwierdzić, że aplikacja Copilot korzysta z wtyczki.

Uwaga

Środowisko tego ćwiczenia to symulacja wygenerowana na podstawie produktu. W ramach ograniczonej symulacji linki na stronie mogą nie być włączone, a dane wejściowe oparte na tekście, które znajdują się poza określonym skryptem, mogą nie być obsługiwane. Zostanie wyświetlony komunikat wyskakujący z informacją: "Ta funkcja nie jest dostępna w ramach symulacji". W takim przypadku wybierz przycisk OK i kontynuuj wykonywanie ćwiczenia.

Zrzut ekranu przedstawiający wyskakujący ekran wskazujący, że ta funkcja nie jest dostępna w symulacji.

Ćwiczenie

W tym ćwiczeniu użytkownik jest zalogowany jako Avery Howard i pełni rolę właściciela Copilot. Pracujesz zarówno w portalu Azure, jak i w samodzielnym środowisku Microsoft Security Copilot.

Wykonanie tego ćwiczenia powinno potrwać około 15 minut.

Uwaga

Gdy instrukcja laboratorium wywołuje otwarcie linku do symulowanego środowiska, zaleca się otwarcie linku w nowym oknie przeglądarki, aby można było jednocześnie wyświetlić instrukcje i środowisko ćwiczeń. W tym celu wybierz prawy myszy i wybierz opcję.

Zadanie: Testowanie monitu usługi Microsoft Sentinel

Podczas pracy z technologią nie jest rzadkością, aby spróbować użyć funkcji, a następnie zrealizować, po niektórych problemach fotografowania, że zapomniano włączyć tę funkcję. W pierwszym zadaniu przetestujesz monit usługi Microsoft Sentinel z wyłączoną wtyczką usługi Microsoft Sentinel. To zadanie umożliwia uzyskanie ujawnienia informacji podanych w dzienniku procesów, które ułatwiają rozwiązywanie problemu.

  1. Otwórz symulowane środowisko, wybierając ten link: Microsoft Security Copilot.

  2. Na pasku monitu wprowadź monit Summarize the Microsoft Sentinel incident 30342 (Podsumowanie zdarzenia usługi Microsoft Sentinel 30342). Możesz skopiować i wkleić monit na pasku monitu. Następnie wybierz ikonę przebiegu.

  3. Dziennik procesów Copilot pokazuje, że nie może ukończyć żądania. Rozwiń elementy w dzienniku procesów, aby uzyskać bardziej szczegółowe informacje.

Zadanie: Konfigurowanie i włączanie wtyczki usługi Microsoft Sentinel

W tym zadaniu skonfigurujesz wtyczkę usługi Microsoft Sentinel. Aby to zrobić, musisz uzyskać dostęp do witryny Azure Portal, aby uzyskać niezbędne informacje.

  1. Na pasku monitu wybierz ikonę ikona źródełźródła .

  2. Na stronie Zarządzanie źródłami rozwiń widok wtyczek firmy Microsoft, wybierając pozycję Pokaż 11 więcej i przewiń w dół, aż usługa Microsoft Sentinel będzie widoczna.

  3. Wybierz przycisk Skonfiguruj i zanotuj parametry, które należy skonfigurować. Wybierz ikonę informacji obok dowolnego z parametrów. Pozostaw otwartą kartę przeglądarki. Wrócisz do tej strony, aby każdy parametr został skonfigurowany.

  4. Użyj prawego myszy, aby otworzyć link do witryny Azure Portal w nowej karcie lub oknie: Azure Portal. Ważne jest, aby dostęp do witryny Azure Portal i dostęp do rozwiązania Security Copilot był dostępny jako oddzielne karty przeglądarki, ponieważ będziesz uzyskiwać dostęp do obu kart dla tego zadania.

    1. Wybierz pozycję Obszary robocze usługi Log Analytics, które powinny być wyświetlane jako ikona w obszarze usługi platformy Azure.
    2. Wybierz obszar roboczy skojarzony z wdrożeniem usługi Microsoft Sentinel. W tym ćwiczeniu wybierz pozycję Woodgrove-LogAnalyticsWorkspace.
    3. Jeśli nie wybierzesz go teraz, na stronie przeglądu. W tym miejscu skopiujesz informacje wymagane do skonfigurowania wtyczki usługi Microsoft Sentinel.
    4. Pamiętaj, że pierwszy parametr wymieniony na stronie ustawień usługi Microsoft Sentinel to domyślna nazwa obszaru roboczego. Zatrzymaj wskaźnik myszy na nazwie obszaru roboczego, aż zostanie wyświetlona ikona schowka. Wybierz pozycję Kopiuj do schowka.
    5. Pozostaw otwartą kartę przeglądarki, ponieważ będziesz odwoływać się do informacji na tej stronie dla każdego parametru do skonfigurowania.

  5. Wróć do karty przeglądarki Copilot. Umieść kursor myszy w polu nazwy obszaru roboczego i kliknij prawym przyciskiem myszy, aby wkleić zawartość schowka do schowka. Nazwa obszaru roboczego jest dodawana do pola.

  6. Powtórz kroki do momentu skonfigurowania pozostałych dwóch pól. Po wypełnieniu wszystkich pól wybierz pozycję Zapisz.

  7. Upewnij się, że przełącznik dla wtyczki usługi Microsoft Sentinel jest włączony, a następnie zamknij okno zarządzania źródłami, wybierając ikonę X.

Zadanie: Ponowne testowanie monitu usługi Microsoft Sentinel

Teraz, gdy wtyczka Microsoft Sentinel jest włączona, uruchom monit, który wypróbowałeś wcześniej. Po pomyślnym wykonaniu podpowiedzi zapisz ją na tablicy przypięć i możesz uzyskać link do sesji, aby udostępnić go współpracownikowi.

  1. Po skonfigurowaniu wtyczki należy utworzyć nową sesję, aby ponownie uruchomić monit usługi Microsoft Sentinel. W górnej części strony wybierz pozycję Microsoft Security Copilot.

  2. Na pasku monitu wprowadź monit Summarize the Microsoft Sentinel incident 30342 (Podsumowanie zdarzenia usługi Microsoft Sentinel 30342). Możesz skopiować i wkleić monit na pasku monitu. Następnie wybierz ikonę przebiegu.

  3. Dziennik procesów copilot pokazuje, że monit został wykonany pomyślnie, wyświetlając zielone znaczniki wyboru.

  4. Wybierz ikonę ikona pola pola obok ikony pinezki, aby wybrać odpowiedź. Wybranie ikony przypinania powoduje przypięcie odpowiedzi do tablicy przypinania, która automatycznie się otworzy. Tablica pinezki zawiera podsumowanie przypiętych odpowiedzi.

Wykonaj przegląd

W tym ćwiczeniu został uruchomiony monit, który wymaga włączenia wtyczki usługi Microsoft Sentinel. Po pierwszym uruchomieniu monitu copilot nie był w stanie ukończyć żądania. Dziennik procesów dostarczył informacje ułatwiające rozwiązanie problemu. Następnie skonfigurowano i włączono wtyczkę. Po włączeniu wtyczki można pomyślnie uruchomić monit.