啟用自訂外掛程式

  • 10 分鐘

在此練習中,您會實驗自訂外掛程式。 首先檢查擁有者設定,以了解誰可以新增及管理自己的自訂外掛程式,以及誰可以為組織中的每個人新增及管理自訂外掛程式。 設定擁有者設定之後,您會上傳自定義外掛程式的檔案。 上傳檔案可將外掛程式功能新增至 Copilot。 新增外掛程式之後,您可以驗證其是否顯示為系統功能,並開始使用它。

YAML 或 JSON 外掛程式資訊清單檔的建立 (描述有關外掛程式的中繼資料以及如何叫用它) 超出了本內容的範圍,但您可以透過存取瀏覽「建立您自己的自訂外掛程式」來取得詳細的資訊。

注意

此練習的環境是從產品產生的模擬。 由於是有限的模擬,因此頁面上的連結可能無法啟用,而且可能不支援超出指定指令碼的文字型輸入。 快顯訊息會顯示:「這項功能無法在模擬內使用」。發生這種情況時,請選取 [確定],然後繼續進行練習步驟。

快顯畫面的螢幕擷取畫面,其中指出此功能無法在模擬內使用。

練習

在此練習中,您已以 Avery Howard 身分登入,且具有 Copilot 擁有者角色。 您將在 Microsoft Security Copilot 中工作,並存取 GitHub 儲存庫以下載外掛程式的範例資訊清單檔。

完成此練習約需要 10 分鐘。

注意

當實驗室指示呼叫開啟模擬環境的連結時,建議您在新瀏覽器視窗中開啟連結,以便同時檢視指示和練習環境。 若要這樣做,請選取滑鼠右鍵,然後選取選項。

在您開始使用 Intune 之前

在此練習中,您會使用範例 .yaml 檔案 'KQL_DefenderExample.yaml'。

  1. 選取 KQL_DefenderExample.yaml 連結以存取該範例檔案。

  2. 選取 [下載原始檔案]下載原始檔案圖示 圖示。 將檔案儲存在本機電腦上,因為稍後會用到。

    或者,因為這是模擬,所以您可以建立一個名為 'KQL_DefenderExample.yaml' 的檔案。 因為這是模擬,因此您建立的檔案內容並不重要。 不過,模擬中顯示的系統功能和提示回應是以實際的檔案為基礎。

工作:更新自訂外掛程式的擁有者設定

在此工作中,您會設定 Copilot,讓 Copilot 擁有者和參與者可以新增及管理自己的自訂外掛程式,以及為組織中每個人新增及管理自訂外掛程式。

  1. 選取此連結以開啟模擬環境:Microsoft Security Copilot

  2. 選取 [主功能表] (漢堡) 圖示

  3. 選取 [外掛程式設定]

    1. 將「誰可以新增及管理自己的自定義外掛程式?」設定為 參與者和擁有者
    2. 將「誰可以新增及管理此工作區使用者的自定義外掛程式?」設定為 參與者和擁有者

  4. 返回登陸頁面。 選取主功能表 (漢堡) 圖示旁邊的 [Microsoft Security Copilot]

工作:上傳自訂外掛程式的檔案

在此工作中,您要上傳一個名為 KQL_DefenderExample.yaml 的檔案 (您在本練習的「開始之前」一節中所下載的檔案)。

  1. 從 Copilot 登陸頁面上的提示列中,選取 [來源] 圖示。

  2. 在 [管理來源] 視窗中,向下捲動直到您進入 [自訂外掛程式]。 選取 [新增外掛程式][新增外掛程式] 按鈕 按鈕。 即會開啟 [新增外掛程式] 視窗。

  3. 在 [新增外掛程式] 視窗中,確定 [誰可以使用此外掛程式] 的設定設為 [只有我]

  4. 對於本練習,請選取 [Security Copilot 外掛程式],因為這是自訂外掛程式的 .yaml 檔案的格式。

  5. 在顯示的上傳方塊中,選取 [上傳檔案],然後選取您先前下載到本機電腦的檔案 [KQL_DefenderExample.yaml],然後選取 [新增]

  6. 在自訂外掛程式頁面上,已新增並啟用外掛程式。 請注意私人標籤。

  7. 選取 [設定] 圖示。 設定圖示會顯示基本外掛程式資訊。 記下名稱和簡短描述。 這是基本的範例外掛程式,因此沒有可設定的設定參數。 如果外掛程式需要 API 金鑰或登入認證,這就是設定它們的位置,就像您設定 Microsoft Sentinel 外掛程式的練習一樣。 您也可以在這裡刪除外掛程式。 選取 [取消] 以退出頁面。

  8. 選取視窗右上角的 [X],以關閉管理來源視窗。

工作:測試自訂外掛程式

在此工作中,您將驗證可以從提示圖示存取外掛程式啟用的功能,並進行測試。

  1. 從提示列中,選取 [提示] 圖示。

  2. 選取 [查看所有系統功能]

  3. 一路向下捲動,直到您到達 [我的範例 Defender KQL] 外掛程式為止。 外掛程式名稱下面列出的內容是外掛程式啟用的功能 (提示)。 選取 [依收件者取得最新電子郵件] 以執行提示。 為了將來參考,您可以依此功能 (提示) 名稱進行搜尋。

  4. 輸入需要稽核其電子郵件之使用者的電子郵件地址:nosv32@woodgrove.ms

  5. 與任何提示一樣,您可以選擇回應並將其釘選在釘選板上,您也可以分享、編輯等等。

檢閱

在本練習中,您已透過上傳外掛程式的 .yaml 檔案來啟用自訂外掛程式,然後測試該外掛程式所支援的功能。