Habilitación de widgets de enriquecimiento en Microsoft Sentinel

  • Artículo

Los widgets de enriquecimiento son componentes dinámicos que proporcionan inteligencia detallada y procesable sobre las entidades. Integran contenido y datos externos e internos de diversos orígenes, lo que le permite entender mejor las posibles amenazas de seguridad.

En este artículo se muestra cómo habilitar la experiencia de widgets de enriquecimiento, lo que le permite sacar provecho de esta nueva funcionalidad y tomar mejores decisiones más rápidas.

Importante

Los widgets de enriquecimiento se encuentran actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Habilitación de widgets de enriquecimiento

Los widgets requieren el uso de credenciales para acceder y mantener las conexiones a sus orígenes de datos. Estas credenciales pueden estar en forma de claves de API, nombre de usuario/contraseña u otros secretos, y se almacenan en Azure Key Vault dedicado que se crea para este propósito.

Debe tener el rol Colaborador para el grupo de recursos del área de trabajo para crear este almacén de claves en el entorno.

Microsoft Sentinel ha automatizado el proceso de creación de un almacén de claves para widgets de enriquecimiento. Para habilitar la experiencia de widgets, siga estos dos pasos:

Paso 1: Creación de un almacén de claves dedicado para almacenar las credenciales

  1. En el menú de navegación de Microsoft Sentinel, seleccione Comportamiento de la entidad.

  2. En la página comportamiento de entidad , seleccione widgets de enriquecimiento (versión preliminar) en la barra de herramientas.

    Screenshot of the entity behavior page.

  3. En la Página Incorporación de widgets, seleccione Crear almacén de claves.

    Screenshot of widget onboarding page instructions to create a key vault.

    Verá una notificación de Azure Portal cuando la implementación de Key Vault esté en curso y, de nuevo, cuando se haya completado.

    En ese momento, también verá que el botón Crear almacén de claves ahora está atenuado y, además, el nombre del nuevo almacén de claves aparece como un vínculo. Para acceder a la página del almacén de claves, seleccione el vínculo.

    Además, la sección con la etiqueta Paso 2: Agregar credenciales, anteriormente atenuadas, ahora está disponible.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

Paso 2: Agregue las credenciales pertinentes a Key Vault de los widgets

Los orígenes de datos a los que acceden todos los widgets disponibles se muestran en la página Incorporación de widgets, en Paso 2: Agregar credenciales. Debe agregar las credenciales de cada origen de datos de una en una. Para ello, siga estos pasos para cada origen de datos:

  1. Consulte las instrucciones de la sección siguiente para buscar o crear credenciales para un origen de datos determinado. (Como alternativa, puede seleccionar el vínculo Buscar sus credenciales en la página De incorporación de widgets para un origen de datos determinado, que le redirigirá a las mismas instrucciones a continuación.) Cuando tenga las credenciales, cópielas y continúe con el paso siguiente.

  2. Seleccione Agregar credenciales para ese origen de datos. El asistenteimplementación personalizada se abrirá en un panel lateral del lado derecho de la página.

    Los campos Suscripción, Grupo de recursos, regiónynombre de Key Vault están rellenados previamente y no debería haber ninguna razón para editarlos.

  3. Escriba las credenciales que guardó en los campos pertinentes del Asistente para implementación personalizada (clave de API,nombre de usuario,contraseña, etc.).

  4. Seleccione Revisar + crear.

  5. La pestaña Revisar + crear presentará un resumen de la configuración y, posiblemente, los términos del contrato.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Nota:

    Antes de seleccionar Crear para aprobar los términos y crear el secreto, es una buena idea duplicar la pestaña del explorador actual y, a continuación, seleccionar Crear en la pestaña nueva. Esto se recomienda porque, por ahora, la creación del secreto le llevará fuera del contexto de Microsoft Sentinel y al contexto de Key Vault, sin ninguna manera directa. De este modo, tendrá la pestaña anterior en la página Incorporación de widgets y la nueva pestaña para administrar los secretos del almacén de claves.

    Seleccione Crear para aprobar los términos y crear el secreto.

  6. Se mostrará una nueva página para el nuevo secreto, con un mensaje que indica que se ha completado la implementación.

    Screenshot of completed secret deployment.

    Vuelva a la página Incorporación de widgets (en la pestaña original del explorador).

    (Si no ha duplicado la pestaña del explorador como se indica en la nota anterior, abra una nueva pestaña del explorador y vuelva a la página de incorporación de widgets.)

  7. Compruebe que el nuevo secreto se agregó al almacén de claves:

    1. Abra el almacén de claves dedicado para los widgets.
    2. Seleccione Secretos en el menú de navegación del almacén de claves.
    3. Vea que el secreto del origen del widget se ha agregado a la lista.

Búsqueda de las credenciales de cada origen de widget

Esta sección contiene instrucciones para crear o buscar sus credenciales para cada uno de los orígenes de datos de los widgets.

Nota:

No todos los orígenes de datos de widget requieren credenciales para que Microsoft Sentinel acceda a ellos.

Credenciales para el total de virus

  1. Escriba la clave de APIdefinida en la cuenta de Virus Total. Puede registrarse para obtener una cuenta gratuita de Virus Total para obtener una clave de API.

  2. Después de seleccionar Crear e implementar la plantilla como se describe en el párrafo 6 del paso 2 anterior, se agregará un secreto denominado "Virus Total" al almacén de claves.

Credenciales para AbuseIPDB

  1. Escriba la clave de API definida en la cuenta de AbuseIPDB. Puede registrarse para obtener una cuenta gratuita de AbuseIPDB para obtener una clave de API.

  2. Después de seleccionar Crear e implementar la plantilla como se describe en el párrafo 6 del paso 2 anterior, se agregará un secreto denominado "AbuseIPDB" al almacén de claves.

Credenciales para Anomali

  1. Escriba el nombre de usuario y la clave de API definida en la cuenta de Anomali.

  2. Después de seleccionar Crear e implementar la plantilla como se describe en el párrafo 6 del paso 2 anterior, se agregará un secreto denominado "Anomali" al almacén de claves.

Credenciales para el futuro registrado

  1. Escriba la clave de API de futura grabada. Póngase en contacto con el representante de Futuro registrado para obtener la clave de API. También puede solicitar una evaluación gratuita de 30 días especialmente para los usuarios de Sentinel.

  2. Después de seleccionar Crear e implementar la plantilla como se describe en el párrafo 6 del paso 2 anterior, se agregará un secreto denominado "Futuro registrado" al almacén de claves.

Credenciales para la inteligencia sobre amenazas de Microsoft Defender

  1. El widget Inteligencia contra amenazas de Microsoft Defender debe capturar los datos automáticamente si tiene la licencia de Inteligencia contra amenazas de Microsoft Defender pertinente. No es necesario tener credenciales.

  2. Si no tiene la licencia adecuada, póngase en contacto con el equipo de seguridad de Microsoft para obtener instrucciones.

Agregar nuevos widgets cuando estén disponibles

Microsoft Sentinel aspira a ofrecer una amplia colección de widgets, lo que hace que estén disponibles a medida que estén listos. A medida que los nuevos widgets estén disponibles, sus orígenes de datos se agregarán a la lista de la página Incorporación de widgets, si aún no están allí. Cuando vea anuncios de nuevos widgets disponibles, vuelva a comprobar en la página de incorporación de widgets las nuevas orígenes de datos que aún no tengan configuradas las credenciales. Para configurarlos, siga el paso 2 anterior.

Eliminación de la experiencia de widgets

Para quitar la experiencia de widgets de Microsoft Sentinel, simplemente elimine el almacén de claves que creó en el paso 1 anterior.

Solución de problemas

Errores en la configuración del widget

Si en uno de los widgets ve un mensaje de error sobre la configuración del widget, por ejemplo, como se muestra en la captura de pantalla siguiente, compruebe que ha seguido las instrucciones de configuración de anteriores y la instrucciones específicas del widget.

Screenshot of widget configuration error message.

Error al crear Key Vault

Si recibe un mensaje de error al crear Key Vault, puede haber varias razones:

  • No tiene el rol Colaboradoren el grupo de recursos.

  • La suscripción no está registrada en el proveedor de recursos de Key Vault.

Error al implementar secretos en Key Vault

Si recibe un mensaje de error al implementar un secreto para el origen de datos del widget, compruebe lo siguiente:

  • Compruebe que ha escrito correctamente las credenciales de origen.

  • Es posible que la plantilla de ARM proporcionada haya cambiado.

Pasos siguientes

En este artículo, ha aprendido a habilitar widgets para la visualización de datos en páginas de entidad. Para obtener más información sobre las páginas de entidad y otros lugares donde aparece información de entidad: