Eksploracja agenta informacji wywiadowczych o zagrożeniach

  • 15 min

W tym ćwiczeniu zapoznasz się z agentem briefingu analizy zagrożeń w narzędziu Security Copilot.

Uwaga / Notatka

Środowisko tego ćwiczenia to symulacja wygenerowana na podstawie produktu. W ramach ograniczonej symulacji linki na stronie mogą nie być włączone, a dane wejściowe oparte na tekście, które znajdują się poza określonym skryptem, mogą nie być obsługiwane. Zostanie wyświetlony komunikat wyskakujący z informacją: "Ta funkcja nie jest dostępna w ramach symulacji". W takim przypadku wybierz przycisk OK i kontynuuj wykonywanie ćwiczenia.

Zrzut ekranu przedstawiający wyskakujący ekran wskazujący, że ta funkcja nie jest dostępna w symulacji.

Ćwiczenie

W tym ćwiczeniu użytkownik jest zalogowany jako Avery Howard i masz rolę właściciela w aplikacji Security Copilot. Zacznij od włączenia i skonfigurowania wtyczek niezbędnych do korzystania z agenta briefingu analizy zagrożeń i skonfigurowania parametrów agenta. Po skonfigurowaniu należy uruchomić agenta. Przedstawiono również edytowanie parametrów używanych do ręcznego uruchamiania agenta.

Wykonanie tego ćwiczenia powinno potrwać około 15 minut.

Uwaga / Notatka

Gdy instrukcja laboratorium wywołuje otwarcie linku do symulowanego środowiska, zaleca się otwarcie linku w nowym oknie przeglądarki, aby można było jednocześnie wyświetlić instrukcje i środowisko ćwiczeń. Aby to zrobić, kliknij prawym przyciskiem myszy i wybierz opcję.

Zadanie: Konfigurowanie wtyczek agentów

Przed rozpoczęciem konfigurowania agenta przejdźmy do strony wtyczek i upewnij się, że wtyczki używane przez agenta briefingu analizy zagrożeń są włączone i skonfigurowane.

  1. Otwórz symulowane środowisko, wybierając pozycję Microsoft Security Copilot.
  2. Na głównej stronie docelowej wybierz ikonę źródeł na pasku monitu.
  3. Rozwiń listę wtyczek firmy Microsoft, wybierz pozycję Pokaż 17 więcej.
    1. Upewnij się, że wtyczka Agentów jest włączona.
    2. Upewnij się, że wtyczka Microsoft Threat Intelligence jest włączona.
    3. Upewnij się, że wtyczka Agentów analizy zagrożeń firmy Microsoft jest włączona
    4. Upewnij się, że opcjonalna wtyczka microsoft Defender External Attack Surface Management jest włączona i skonfigurowana.
  4. Zamknij stronę Zarządzanie źródłami, ale pozostaw otwartą kartę przeglądarki z funkcją Security Copilot. Potrzebujesz go do następnego zadania.

Zadanie: Konfigurowanie i uruchamianie agenta

W tym zadaniu skonfigurujesz agenta briefingu analizy zagrożeń.

  1. Wybierz ikonę Menu , która jest czasami nazywana ikoną hamburgera, a następnie wybierz pozycję Agenci. Jeśli zostanie wyświetlone wyskakujące okienko, wybierz pozycję Odrzuć.

  2. Znajdź kafelek oznaczony jako Agent ds. Analizy Zagrożeń, a następnie wybierz Wyświetl szczegóły.

  3. Przejrzyj informacje na stronie agenta, która zawiera krótki opis agenta, wyzwalacz, uprawnienia, tożsamość, wtyczki i dostęp oparty na rolach, a następnie wybierz pozycję Skonfiguruj.

  4. Okno konfiguracji agenta zawiera informacje o uprawnieniach wymaganych do uruchomienia agenta i tożsamości powiązanej z agentem. Aby połączyć konto użytkownika (pamiętaj, że zalogowano się jako Avery Howard) do agenta, wybierz przycisk Dalej , aby otworzyć nowe okno, w którym można wybrać konto użytkownika. Wybierz Avery Howard.

  5. Po połączeniu konta z agentem należy ukończyć konfigurowanie agenta, określając parametry używane do dostosowywania raportu analizy zagrożeń. Ta informacja jest używana za każdym razem, gdy agent jest uruchamiany, chyba że zostanie zmieniona (eksplorujecie to w kolejnym zadaniu).

    1. Szczegółowe informacje: 3
    2. Przegląd dni wstecz: 14
    3. Adres e-mail: avery.howard@woodgrove.ms
    4. Region: Stany Zjednoczone
    5. Branża: Opieka zdrowotna

  6. Wybierz Zakończ

  7. Po utworzeniu agenta nastąpi przekierowanie do strony aktywności, na której agent będzie mógł pracować nad pierwszymi wynikami jako część pierwszego doświadczenia użytkownika. W tym miejscu możesz uruchomić go za pomocą wyzwalacza automatycznego lub uruchomić go bez wyzwalacza, wybierz pozycję Uruchom automatycznie na wyzwalaczu. Po wybraniu okna zostanie wyświetlony komunikat Agent pracuje nad pierwszymi wynikami. Po kilku sekundach okno zostanie zaktualizowane, pokazując linijkę dla pierwszego przebiegu ze statusem „W toku”, a metoda jest oznaczona jako Zautomatyzowana.

  8. Po kilku sekundach proces zostanie oznaczony jako Ukończony. Wybierz pozycję wymienioną jako Ukończono w oknie panelu aktywności. W celu symulacji czas potrzebny na ukończenie przebiegu jest przyspieszany.

  9. Pierwsza sekcja raportu to Dane wejściowe. Rozwiń strzałkę w dół obok, aby upewnić się, że wprowadzone dane wejściowe są wyświetlane.

  10. W następnej sekcji raportu zostanie wyświetlony wynik.

    1. Przewiń w dół, aby wyświetlić raport.
    2. Obok wyników znajduje się kilka ikon. Umieść kursor na każdej z nich, aby wyświetlić jej funkcję. Przyjrzyjmy się opcjom informacji zwrotnej:
      1. Wybierz ikonę thumbs-up , aby wyświetlić dostępne opcje, a następnie wybierz pozycję Anuluj.
      2. Wybierz ikonę kciuka w dół .
        1. Wybierz pozycję Wymaga poprawy , aby wyświetlić opcje, a następnie wybierz pozycję Nieodpowiednie.
        2. Wybierz pozycję Anuluj , aby zamknąć okno opinii.

  11. Teraz wybierz pozycję Wyświetl działanie w prawym górnym rogu okna, aby wyświetlić mapę Działania.

    1. Za pomocą myszy (wyświetlana ikona dłoni) możesz przenieść mapę wokół strony. Możesz powiększyć/zmniejszyć obraz, wybierając suwak lub + albo - w prawym dolnym rogu okna.
    2. Wyjdź z mapy aktywności i wróć do Agenta Briefingu Analizy Zagrożeń, wybierając identyfikator wyzwalacza (ciąg alfanumeryczny) w okruszku nawigacyjnym na górze strony.

  12. Powinieneś teraz być z powrotem na stronie Agenta Briefingu Wywiadu Zagrożeń. Pozostaw otwartą kartę przeglądarki. Będzie ona potrzebna do następnego zadania.

  13. Pozostaw tę kartę przeglądarki otwartą dla następnego zadania.

Zadanie: Uruchamianie agenta w wyzwalaczu ręcznym z różnymi parametrami

Może być sytuacja, w której zechcesz ręcznie uruchomić agenta z różnymi parametrami, lecz nie chcesz zmieniać ustawień skonfigurowanych podczas instalacji, które są używane do automatycznego wyzwalania przebiegów.

W tym zadaniu uruchomisz agenta analizy zagrożeń na ręcznie uruchamianym wyzwalaczu skonfigurowanym na innych parametrach niż te użyte w konfiguracji agenta.

  1. Powinieneś nadal być na stronie aktywności, na której wyświetlana jest pozycja na liście raportu uruchomionego po zakończeniu konfiguracji agenta. Wybierz pozycję Uruchom w prawym górnym rogu strony, a następnie z menu rozwijanego wybierz pozycję Jeden raz. W takim przypadku uruchomisz agenta ręcznie, ale z różnymi parametrami. Każda aktualizacja parametrów ma wpływ tylko na to ręczne wykonanie.
  2. Zostanie otwarte okno umożliwiające przejrzenie danych wejściowych przed uruchomieniem. Wybierz strzałkę w dół, aby wyświetlić pola Opcjonalne. W tym uruchomieniu zmienisz parametry w następujący sposób:
    1. Szczegółowe informacje: 2
    2. Liczba dni wstecz: 7
    3. Adres e-mail: avery.howard@woodgrove.ms
    4. Region: Europa
    5. Branża: Finanse
  3. Wybierz Prześlij. Wprowadzone tutaj zmiany wpływają tylko na tę konkretną, ręcznie uruchomioną wersję agenta. Wszystkie przyszłe uruchomienia są wykonywane z parametrami zdefiniowanymi podczas instalacji.
  4. W tym momencie to nowe uruchomienie pokazuje stan W toku z metodą Manual (Ręczne). Po kilku sekundach przebieg powinien być wyświetlany jako ukończony. Wybierz element wiersza z komunikatem Ukończono i przejrzyj wyniki.
  5. Pozostaw otwartą kartę przeglądarki. Będzie ona potrzebna do następnego zadania.

Zadanie: Edytowanie agenta analiz zagrożeń

Po uruchomieniu agenta w poprzednim zadaniu zmodyfikowano parametry, ale te parametry mają wpływ tylko na ten konkretny przebieg. Wszystkie kolejne przebiegi są wykonywane przy użyciu parametrów wprowadzonych podczas instalacji agenta. W tym zadaniu zmodyfikujesz parametry wprowadzone podczas konfigurowania, które sterują wszystkimi automatycznie wyzwalanymi przebiegami oraz ręcznymi uruchomieniami, jeśli parametry nie zostaną jawnie zmienione dla tych uruchomień.

  1. Powinieneś nadal znajdować się na stronie aktywności dla Agenta Odprawy Wywiadowczej Zagrożeń, która pokazuje dwa wpisy dotyczące przebiegów wykonanych w wcześniejszych zadaniach. Wybierz wielokropek w prawym górnym rogu strony i wybierz pozycję Edytuj
  2. Na stronie Edycja agenta masz opcję dodania innej tożsamości, ale dla tego zadania nie zmienisz tożsamości. Wybierz Dalej.
  3. W tym miejscu wybierasz parametry, które mają być używane, gdy agent działa w wyzwalaczu automatycznym lub w przypadku przebiegów ręcznych, w których nie zmieniasz jawnie parametrów dla tego uruchomienia.
  4. Ustaw parametry, jak pokazano poniżej, i wybierz pozycję Zakończ (lub Wybierz przycisk Anuluj).
    1. Spostrzeżenia: 3
    2. Liczba dni do wstecznego przeglądania: 30
    3. Adres e-mail: adres e-mail użytkownika
    4. Region: Stany Zjednoczone
    5. Branża: Finanse.
  5. Powinieneś być z powrotem na stronie Briefing agenta ds. analizy zagrożeń.

Przegląd: W tym ćwiczeniu wykonaliśmy konfigurację agenta analizy zagrożeń, w tym zweryfikowanie ustawień wtyczki. Agent został uruchomiony przy użyciu wyzwalacza automatycznego z parametrami skonfigurowanymi podczas uruchamiania, a następnie ponownie ręcznie, zmieniając parametry dla tego uruchomienia. Na koniec omówiliśmy proces edytowania agenta.