Konfigurieren des Microsoft Sentinel-Plug-In

  • 15 Minuten

In dieser Übung konfigurieren Sie das Microsoft Sentinel-Plug-In und führen einige Testaufforderungen aus, um zu bestätigen, dass Copilot das Plug-In verwendet.

Hinweis

Die Umgebung für diese Übung ist eine Simulation, die aus dem Produkt generiert wird. Da es sich um eine eingeschränkte Simulation handelt, werden Links auf einer Seite möglicherweise nicht aktiviert, und textbasierte Eingaben, die außerhalb des angegebenen Skripts liegen, werden möglicherweise nicht unterstützt. Eine Popupmeldung zeigt an, dass "Dieses Feature ist in der Simulation nicht verfügbar" angezeigt wird. Wählen Sie in diesem Fall "OK" aus, und fahren Sie mit den Übungsschritten fort.

Screenshot des Popupbildschirms, der angibt, dass dieses Feature in der Simulation nicht verfügbar ist.

Übung

Für diese Übung sind Sie als Avery Howard angemeldet und haben die Rolle „Copilot-Besitzer“. Sie arbeiten sowohl im Azure-Portal als auch in der eigenständigen Erfahrung von Microsoft Security Copilot.

Diese Übung sollte ungefähr 15 Minuten dauern, um sie abzuschließen.

Hinweis

Wenn Sie durch eine Labanweisung dazu aufgefordert werden, einen Link zur simulierten Umgebung zu öffnen, wird empfohlen, den Link in einem neuen Browserfenster zu öffnen, damit Sie gleichzeitig die Anweisungen und die Übungsumgebung anzeigen können. Wählen Sie dazu die Option mit der rechten Maustaste aus.

Aufgabe: Testen eines Microsoft Sentinel-Prompts

Bei der Arbeit mit Technologie ist es nicht ungewöhnlich, ein Feature zu verwenden und dann nach einiger Problembehandlung zu erkennen, dass Sie vergessen haben, dieses Feature zu aktivieren. In dieser ersten Aufgabe testen Sie eine Microsoft Sentinel-Eingabeaufforderung mit deaktiviertem Microsoft Sentinel-Plug-In. Sie durchlaufen diese Aufgabe, damit Sie die im Prozessprotokoll bereitgestellten Informationen anzeigen können, die Ihnen bei der Problembehandlung helfen.

  1. Öffnen Sie die simulierte Umgebung, indem Sie diesen Link auswählen: Microsoft Security Copilot.

  2. Geben Sie in der Eingabeaufforderungsleiste die Eingabeaufforderung "Zusammenfassung des Microsoft Sentinel-Vorfalls 30342" ein. Sie können die Eingabeaufforderung kopieren und in die Eingabeaufforderungsleiste einfügen. Wählen Sie dann das Symbol „Ausführen“ aus.

  3. Das Copilot-Prozessprotokoll zeigt, dass es Ihre Anforderung nicht abschließen kann. Erweitern Sie die Elemente im Prozessprotokoll, um ausführlichere Informationen zu erhalten.

Aufgabe: Konfigurieren und Aktivieren des Microsoft Sentinel-Plug-Ins

In dieser Aufgabe konfigurieren Sie das Microsoft Sentinel-Plug-In. Dazu müssen Sie auf das Azure-Portal zugreifen, um die erforderlichen Informationen zu erhalten.

  1. Wählen Sie in der Eingabeaufforderungsleiste das QuellensymbolQuellensymbol aus.

  2. Erweitern Sie auf der Seite "Quellen verwalten" die Ansicht für die Microsoft-Plug-Ins, indem Sie "11 mehr anzeigen " auswählen und nach unten scrollen, bis Microsoft Sentinel sichtbar ist.

  3. Wählen Sie die Schaltfläche " Einrichten " aus, und notieren Sie sich die Parameter, die konfiguriert werden müssen. Wählen Sie das Informationssymbol neben einem der Parameter aus. Lassen Sie diese Browserregisterkarte geöffnet und Sie kehren zu dieser Seite zurück, damit jeder Parameter konfiguriert werden kann.

  4. Verwenden Sie die rechte Maustaste, um den Link zum Azure-Portal in einer neuen Registerkarte oder einem neuen Fenster zu öffnen: Azure-Portal. Es ist wichtig, dass der Zugriff auf das Azure-Portal und der Zugriff auf Security Copilot als separate Browserregisterkarten verfügbar sind, da Sie für diese Aufgabe auf beide Registerkarten zugreifen werden.

    1. Wählen Sie Log Analytics-Arbeitsbereiche aus, sie sollte als Symbol unter Azure-Diensten angezeigt werden.
    2. Wählen Sie den Arbeitsbereich aus, der Ihrer Microsoft Sentinel-Bereitstellung zugeordnet ist. Wählen Sie für diese Übung Woodgrove-LogAnalyticsWorkspace aus.
    3. Sie sollten sich auf der Übersichtsseite befinden, wenn sie noch nicht ausgewählt ist. Von hier aus kopieren Sie die Informationen, die zum Konfigurieren des Microsoft Sentinel-Plug-Ins erforderlich sind.
    4. Denken Sie daran, dass der erste Parameter, der auf der Einstellungsseite von Microsoft Sentinel aufgeführt ist, der Name des Standardarbeitsbereichs ist. Fahren Sie mit der Maus über den Arbeitsbereichsnamen, bis das Symbol für die Zwischenablage angezeigt wird. Wählen Sie "In Zwischenablage kopieren" aus.
    5. Lassen Sie diese Browserregisterkarte geöffnet, während Sie auf die Informationen auf dieser Seite verweisen, damit jeder Parameter konfiguriert werden kann.

  5. Gehen Sie zurück in die Copilot-Browserregisterkarte. Platzieren Sie den Mauszeiger im Arbeitsbereichsnamenfeld, und klicken Sie mit der rechten Maustaste, um den Inhalt der Zwischenablage in die Zwischenablage einzufügen. Der Arbeitsbereichsname wird dem Feld hinzugefügt.

  6. Wiederholen Sie die Schritte, bis Sie die verbleibenden beiden Felder konfiguriert haben. Nachdem alle Felder ausgefüllt wurden, wählen Sie "Speichern" aus.

  7. Stellen Sie sicher, dass der Schalter für das Microsoft Sentinel-Plug-In aktiviert ist, und schließen Sie dann das Fenster „Quellen verwalten“, indem Sie das X auswählen.

Aufgabe: Erneuter Test des Microsoft Sentinel-Prompts

Nachdem das Microsoft Sentinel-Plug-In aktiviert ist, führen Sie den Prompt aus, die Sie bereits verwendet haben. Wenn der Prompt erfolgreich ausgeführt wurde, speichern Sie ihn auf der Pinnwand, und erhalten Sie einen Link zur Sitzung, damit Sie sie für Kollegen freigeben können.

  1. Nachdem Sie das Plug-In konfiguriert haben, müssen Sie eine neue Sitzung erstellen, um den Microsoft Sentinel-Prompt erneut auszuführen. Wählen Sie oben auf der Seite Microsoft Security Copilot aus.

  2. Geben Sie in der Eingabeaufforderungsleiste die Eingabeaufforderung "Zusammenfassung des Microsoft Sentinel-Vorfalls 30342" ein. Sie können die Eingabeaufforderung kopieren und in die Eingabeaufforderungsleiste einfügen. Wählen Sie dann das Symbol „Ausführen“ aus.

  3. Das Copilot-Prozessprotokoll zeigt, dass die Eingabeaufforderung erfolgreich ausgeführt wurde, indem grüne Häkchen angezeigt werden.

  4. Wählen Sie das Feldsymbol Feldsymbol neben dem Stecknadelsymbol aus, um die Antwort auszuwählen. Wenn Sie das Pinsymbol Symbol zum Anheften auswählen, wird die Antwort auf die Pinwand angeheftet, die automatisch geöffnet wird. Das Stecknadelboard zeigt eine Zusammenfassung für die angehefteten Antworten.

Überprüfen

In dieser Übung haben Sie eine Eingabeaufforderung ausgeführt, die erfordert, dass das Microsoft Sentinel-Plug-In aktiviert ist. Als Sie die Eingabeaufforderung zum ersten Mal ausgeführt haben, konnte Copilot die Anforderung nicht abschließen. Das Prozessprotokoll hat die Informationen bereitgestellt, die Ihnen bei der Problembehandlung helfen. Anschließend haben Sie das Plug-In konfiguriert und aktiviert. Mit aktiviertem Plug-In konnten Sie die Eingabeaufforderung erfolgreich ausführen.