Включение пользовательского подключаемого модуля
В этом упражнении вы экспериментируйте с пользовательским подключаемым модулем. Сначала проверьте параметры владельца, которые могут добавлять собственные пользовательские подключаемые модули и управлять ими, а также добавлять пользовательские подключаемые модули для всех пользователей в организации и управлять ими. После того как вы настроите параметры владельца, загрузите файл для вашего пользовательского подключаемого модуля. Отправка файлов добавляет возможность подключаемого модуля в Copilot. После добавления подключаемого модуля убедитесь, что он отображается как системная возможность и начинает использовать его.
Создание файла манифеста подключаемого модуля YAML или JSON, описывающего метаданные о подключаемом модуле и его вызове, выходит за рамки этого содержимого, но вы можете получить дополнительные сведения, перейдя к созданию собственных пользовательских подключаемых модулей.
Примечание.
Среда для этого упражнения — это имитация, созданная из продукта. В качестве ограниченного моделирования ссылки на странице могут не быть включены, а текстовые входные данные, которые находятся за пределами указанного скрипта, могут не поддерживаться. Всплывающее сообщение отображает сообщение "Эта функция недоступна в моделировании". Когда это происходит, нажмите кнопку "ОК" и продолжайте действия упражнения.
Упражнения
Для этого упражнения вы вошли в систему как Avery Howard и имеете роль владельца Copilot. Вы будете работать в Microsoft Security Copilot и будете получать доступ к репозиторию GitHub для скачивания примера файла манифеста для подключаемого модуля.
Это упражнение должно занять около 10 минут.
Примечание.
При вызове инструкции лаборатории для открытия ссылки на имитированную среду рекомендуется открыть ссылку в новом окне браузера, чтобы одновременно просмотреть инструкции и среду упражнений. Для этого выберите нужный ключ мыши и выберите этот параметр.
Перед началом работы
В этом упражнении используется пример yaml-файла KQL_DefenderExample.yaml.
Выберите ссылку KQL_DefenderExample.yaml , чтобы получить доступ к примеру файла.
Щелкните значок
. Сохраните файл на локальном компьютере, так как вам потребуется позже.Кроме того, так как это имитация, можно создать файл с именем KQL_DefenderExample.yaml. Так как это имитация, содержимое создаваемого файла не имеет значения. Однако системные возможности и ответы запроса, отображаемые в моделировании, основаны на фактическом файле.
Задача. Обновление параметров владельца для пользовательских подключаемых модулей
В этой задаче вы настроите Copilot таким образом, чтобы владельцы и участники Copilot могли добавлять собственные пользовательские подключаемые модули и управлять ими для всех пользователей в организации.
Откройте имитированную среду, выбрав эту ссылку: Microsoft Security Copilot.
Выберите значок "Главная" (гамбургер)
Выберите Параметры подключаемого модуля.
- Задайте параметру "Кто может добавлять собственные пользовательские подключаемые модули и управлять ими?" значение Участники и владельцы.
- Установите параметр "Кто может добавлять и управлять пользовательскими подключаемыми модулями для пользователей этой рабочей области?" на участников и владельцев.
Вернитесь на целевую страницу. Щелкните Microsoft Security Copilot рядом с значком домашнего меню (гамбургер).
Задача. Отправка файла для пользовательского подключаемого модуля
В этой задаче вы отправляете файл с именем KQL_DefenderExample.yaml, скачанный в разделе "Перед началом" этого упражнения.
На панели запроса на целевой странице Copilot выберите значок источников .
В окне "Управление источниками" прокрутите вниз, пока не получите к пользовательским подключаемым модулям. Нажмите кнопку Добавить подключаемый модуль
. Откроется окно добавления подключаемого модуля.В окне "Добавление подключаемого модуля" убедитесь, что параметр "Кто может использовать этот подключаемый модуль" установлен в значение Только я.
В этом упражнении выберите плагин Security Copilot, так как это формат для файла .yaml вашего пользовательского плагина.
В появившемся поле отправки выберите " Отправить файл", а затем выберите файл, который вы ранее скачали на локальный компьютер, KQL_DefenderExample.yaml и нажмите кнопку "Добавить".
На странице пользовательских подключаемых модулей добавлен подключаемый модуль и включен. Обратите внимание на частный тег.
Щелкните значок "Параметры ". На значке параметров отображаются основные сведения о подключаемом модуле. Запишите имя и краткое описание. Это базовый пример подключаемого модуля, поэтому для настройки параметров конфигурации нет. Если для подключаемого модуля требуются ключи API или учетные данные входа, они будут настроены, например упражнение, в котором настроен подключаемый модуль Microsoft Sentinel. Здесь также можно удалить подключаемый модуль. Нажмите кнопку "Отмена", чтобы выйти из страницы.
Закройте окно "Управление источниками", выбрав X в правом верхнем углу окна.
Задача. Тестирование настраиваемого подключаемого модуля
В этой задаче проверяется возможность, включенная подключаемым модулем, можно получить с помощью значка запроса и проверить его.
На панели запроса щелкните значок "Запросы ".
Выберите "Просмотреть все системные возможности".
Прокрутите страницу вниз, пока не дойдете до подключаемого модуля "Мой пример Защитника на KQL". Ниже указано имя подключаемого модуля — это возможность (запрос), включенная подключаемым модулем. Выберите "Получить последние электронные письма по получателю", чтобы выполнить запрос. Для последующей ссылки можно выполнить поиск по этому имени возможности (запроса).
Введите адрес электронной почты пользователя, адрес электронной почты которого необходимо проверить: nosv32@woodgrove.ms
Как и в любом запросе, вы можете выбрать ответ и закрепить его на доске пин-кода, вы можете поделиться им, изменить его и многое другое.
Отзыв
В этом упражнении вы включили пользовательский подключаемый модуль, отправив yaml-файл для подключаемого модуля, а затем протестировал возможности, поддерживаемые подключаемым модулем.