Teilen über

Aktivieren von Anreicherungs-Widgets in Microsoft Sentinel

  • Artikel

Anreicherungs-Widgets sind dynamische Komponenten, die Ihnen detaillierte, umsetzbare Informationen zu Entitäten bieten. Sie integrieren externe und interne Inhalte und Daten aus verschiedenen Quellen und bieten so ein besseres Verständnis potenzieller Sicherheitsbedrohungen.

In diesem Artikel erfahren Sie, wie Sie die Erfahrung mit den Anreicherungs-Widgets aktivieren, sodass Sie diese neue Funktionalität nutzen und damit bessere, schnellere Entscheidungen treffen können.

Wichtig

Anreicherungs-Widgets befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Aktivieren von Anreicherungs-Widgets

Widgets erfordern die Verwendung von Anmeldeinformationen, um auf Verbindungen mit ihren Datenquellen zuzugreifen und diese aufrechtzuerhalten. Diese Anmeldeinformationen können in Form von API-Schlüsseln, Benutzername/Kennwort oder anderen Geheimnissen vorliegen und werden in einem dezidierten Azure Key Vault gespeichert, den Sie zu diesem Zweck erstellen.

Sie müssen über die Rolle Mitwirkender für die Ressourcengruppe des Arbeitsbereichs verfügen, um diesen Key Vault (Schlüsseltresor) in Ihrer Umgebung zu erstellen.

Microsoft Sentinel hat den Prozess der Erstellung eines Key Vault für Anreicherungs-Widgets automatisiert. Führen Sie die folgenden beiden Schritte aus, um die Widgets-Erfahrung zu aktivieren:

Schritt 1: Erstellen eines dedizierten Key Vault zum Speichern von Anmeldeinformationen

  1. Wählen Sie im Navigationsmenü von Microsoft Sentinel Entity Behavior aus.

  2. Wählen Sie auf der Seite Entitätsverhalten die Option Anreicherungs-Widgets (Vorschau) auf der Symbolleiste aus.

    Screenshot of the entity behavior page.

  3. Wählen Sie auf der Seite Widgets Onboarding die Option Key Vault erstellen aus.

    Screenshot of widget onboarding page instructions to create a key vault.

    Es wird eine Microsoft Azure-Portalbenachrichtigung angezeigt, wenn die Key Vault-Bereitstellung ausgeführt wird, und erneut, wenn sie abgeschlossen ist.

    An diesem Punkt sehen Sie auch, dass die Schaltfläche Key Vault erstellen jetzt ausgeblendet ist und daneben wird der Name des neuen Schlüsseltresors als Link angezeigt. Sie können auf die Seite des Schlüsseltresors zugreifen, indem Sie den Link auswählen.

    Außerdem ist der Abschnitt mit der Bezeichnung Schritt 2 – Hinzufügen von Anmeldeinformationen, der zuvor ausgeblendet wurde, jetzt verfügbar.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

Schritt 2: Hinzufügen relevanter Anmeldeinformationen zum Key Vault Ihrer Widgets

Die Datenquellen, auf die alle verfügbaren Widgets zugreifen, werden auf der Onboardingseite für Widgets unter Schritt 2 – Anmeldeinformationen hinzufügen aufgeführt. Sie müssen die Anmeldeinformationen jeder Datenquelle einzeln hinzufügen. Führen Sie dazu die folgenden Schritte für jede Datenquelle aus:

  1. Weitere Informationen zum Suchen oder Erstellen von Anmeldeinformationen für eine bestimmte Datenquelle finden Sie in den Anweisungen im folgenden Abschnitt. (Alternativ können Sie Suchen Sie ihren Anmeldeinformations-Link auf der Widgets Onboardingseite für eine bestimmte Datenquelle auswählen und Sie werden zu den gleichen Anweisungen weiter unten weiterleitet.) Wenn Sie über die Anmeldeinformationen verfügen, kopieren Sie diese zur Seite und fahren Sie mit dem nächsten Schritt fort.

  2. Wählen Sie Anmeldeinformationen hinzufügen für diese Datenquelle aus. Der Assistent für die benutzerdefinierte Bereitstellung wird in einem seitlichen Bereich auf der rechten Seite der Seite geöffnet.

    Die Felder Abonnement, Ressourcengruppe, Region und Key Vault sind alle bereits ausgefüllt, und es sollte für Sie kein Grund für die Bearbeitung vorhanden sein.

  3. Geben Sie die Anmeldeinformationen ein, die Sie in den relevanten Feldern im Assistenten für die benutzerdefinierte Bereitstellung gespeichert haben (API-Schlüssel, Benutzername, Kennwort usw.).

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Auf der Registerkarte Überprüfen und erstellen finden Sie eine Zusammenfassung der Konfiguration und möglicherweise die Bedingungen der Vereinbarung.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Hinweis

    Bevor Sie Erstellen auswählen, um die Begriffe zu genehmigen und den geheimen Schlüssel zu erstellen, ist es ratsam, zunächst die aktuelle Browserregisterkarte zu duplizieren und dann auf der neuen Registerkarte Erstellen auszuwählen. Dies wird empfohlen, da die Erstellung des Geheimnisses Sie zunächst aus dem Microsoft Sentinel-Kontext in den Key Vault-Kontext führt, ohne dass es einen direkten Weg zurück gibt. Auf diese Weise bleibt die alte Registerkarte auf der Widgets Onboardingseite erhalten und die neue Registerkarte dient zur Verwaltung der Geheimnisse Ihres Schlüsseltresors.

    Wählen Sie Erstellen aus, um die Begriffe zu genehmigen und den geheimen Schlüssel zu erstellen.

  6. Für den neuen geheimen Schlüssel wird eine neue Seite mit einer Meldung angezeigt, dass die Bereitstellung abgeschlossen ist.

    Screenshot of completed secret deployment.

    Kehren Sie zur Widgets-Onboardingseite (auf der ursprünglichen Browserregisterkarte) zurück.

    (Wenn Sie die Browserregisterkarte nicht wie in der obigen Anmerkung beschrieben dupliziert haben, öffnen Sie eine neue Browserregisterkarte und kehren Sie zur Onboardingseite für Widgets zurück).

  7. Vergewissern Sie sich, dass Ihr neuer geheimer Schlüssel zum Schlüsseltresor hinzugefügt wurde:

    1. Öffnen Sie den Schlüsseltresor, der für Ihre Widgets vorgesehen ist.
    2. Wählen Sie Geheimnis im Navigationsmenü „Schlüsseltresor“ aus.
    3. Sehen Sie, dass der Geheimschlüssel der Widgetquelle zur Liste hinzugefügt wurde.

Suchen Sie Ihre Anmeldeinformationen für jede Widgetquelle

Dieser Abschnitt enthält Anweisungen zum Erstellen oder Suchen Ihrer Anmeldeinformationen für die einzelnen Datenquellen Ihrer Widgets.

Hinweis

Nicht alle Widgetdatenquellen erfordern Anmeldeinformationen, damit Microsoft Sentinel darauf zugreifen kann.

Anmeldeinformationen für Virus Total

  1. Geben Sie den in Ihrem Virus Total-Konto definierten API-Schlüssel ein. Sie können sich für ein kostenloses Virus Total-Konto registrieren, um einen API-Schlüssel zu erhalten.

  2. Nachdem Sie die Option Erstellen gewählt und die Vorlage wie in Absatz 6 von Schritt 2 oben beschrieben bereitgestellt haben, wird ein Geheimnis namens „Virus Total“ zu Ihrem Schlüsseltresor hinzugefügt.

Anmeldeinformationen für AbuseIPDB

  1. Geben Sie den API-Schlüssel ein, der in Ihrem AbuseIPDB-Konto definiert ist. Sie können sich für ein kostenloses AbuseIPDB-Konto registrieren, um einen API-Schlüssel zu erhalten.

  2. Nachdem Sie die Option Erstellen gewählt und die Vorlage wie in Absatz 6 von Schritt 2 oben beschrieben bereitgestellt haben, wird ein Geheimnis mit dem Namen „AbuseIPDB“ zu Ihrem Schlüsseltresor hinzugefügt.

Anmeldeinformationen für Anomali

  1. Geben Sie den Benutzernamen und den API-Schlüssel ein, der in Ihrem Anomali-Konto definiert ist.

  2. Nachdem Sie die Option Erstellen gewählt und die Vorlage wie in Absatz 6 von Schritt 2 oben beschrieben bereitgestellt haben, wird ein Geheimnis mit dem Namen „Anomali“ zu Ihrem Schlüsseltresor hinzugefügt.

Anmeldeinformationen für Recorded Future

  1. Geben Sie Ihren API-Schlüssel für Recorded Future ein. Wenden Sie sich an Ihren Recorded Future-Vertreter, um Ihren API-Schlüssel zu erhalten. Sie können sich auch eine 30-tägige kostenlose Testversion speziell für Sentinel-Benutzer beantragen.

  2. Nachdem Sie die Option Erstellen gewählt und die Vorlage wie in Absatz 6 von Schritt 2 oben beschrieben bereitgestellt haben, wird ein Geheimnis mit dem Namen „Recorded Future“ zu Ihrem Schlüsseltresor hinzugefügt.

Anmeldeinformationen für Microsoft Defender Threat Intelligence

  1. Das Microsoft Defender Threat Intelligence-Widget sollte die Daten automatisch abrufen, wenn Sie über die entsprechende Microsoft Defender Threat Intelligence-Lizenz verfügen. Anmeldeinformationen sind nicht erforderlich.

  2. Wenn Sie nicht über die richtige Lizenz verfügen, wenden Sie sich an das Microsoft Security-Team, um Anleitungen zu erhalten.

Hinzufügen neuer Widgets, wenn sie verfügbar sind

Microsoft Sentinel möchte eine breite Sammlung von Widgets anbieten und sie verfügbar machen, sobald sie fertig sind. Sobald neue Widgets verfügbar sind, werden ihre Datenquellen der Liste auf der Widgets-Onboardingseite hinzugefügt, sofern sie noch nicht vorhanden sind. Wenn Sie Ankündigungen über neu verfügbare Widgets sehen, sollten Sie auf der Onboardingseite für Widgets nach neuen Datenquellen suchen, für die noch keine Anmeldeinformationen konfiguriert sind. Um sie zu konfigurieren, folgen Sie Schritt 2 oben.

Entfernen Sie die Widgets-Erfahrung

Um die Widgets-Erfahrung aus Microsoft Sentinel zu entfernen, löschen Sie einfach den Key Vault, den Sie in Schritt 1 oben erstellt haben.

Problembehandlung

Fehler in der Widgetkonfiguration

Wenn in einem Ihrer Widgets eine Fehlermeldung zur Widgetkonfiguration angezeigt wird, z. B. wie im folgenden Screenshot gezeigt, überprüfen Sie, ob Sie die oben aufgeführten Konfigurationsanweisungen und die spezifischen Anweisungen für Ihr Widget befolgt haben.

Screenshot of widget configuration error message.

Fehler beim Erstellen von Key Vault

Wenn beim Erstellen des Key Vault eine Fehlermeldung angezeigt wird, kann es mehrere Gründe geben:

  • Sie verfügen nicht über die Rolle Mitwirkender in Ihrer Ressourcengruppe.

  • Ihr Abonnement ist nicht für den Key Vault-Ressourcenanbieter registriert.

Fehler beim Bereitstellen von geheimen Schlüsseln in Ihrem Key Vault

Wenn beim Bereitstellen eines geheimen Schlüssels für Ihre Widget-Datenquelle eine Fehlermeldung angezeigt wird, überprüfen Sie Folgendes:

  • Überprüfen Sie, ob Sie die Quellanmeldeinformationen richtig eingegeben haben.

  • Die bereitgestellte ARM-Vorlage hat sich möglicherweise geändert.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie Widgets für die Datenvisualisierung auf Entitätsseiten aktivieren. Weitere Informationen zu Entitätsseiten und anderen Stellen, an denen Entitätsinformationen angezeigt werden: