Activer les widgets d’enrichissement dans Microsoft Sentinel

Les widgets d’enrichissement sont des composants dynamiques qui fournissent une veille approfondie et actionnable sur les entités. Ils intègrent du contenu externe et interne et des données provenant de différentes sources, ce qui vous permet de mieux comprendre les menaces de sécurité potentielles.

Cet article vous montre comment activer l’expérience des widgets d’enrichissement pour vous permettre de tirer partir de cette nouvelle fonctionnalité et pour vous aider à prendre de meilleures décisions, plus rapidement.

Important

Les widgets d’enrichissement sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Activer les widgets d’enrichissement

Les widgets nécessitent des informations d’identification pour accéder aux connexions à leurs sources de données et les maintenir. Ces informations d’identification peuvent être sous la forme de clés API, de nom d’utilisateur/mot de passe ou d’autres secrets, et elles sont stockées dans un coffre Azure Key Vault dédié que vous créez à cet effet.

Vous devez avoir le rôle Contributeur pour le groupe de ressources de l’espace de travail pour créer ce coffre Key Vault dans votre environnement.

Microsoft Sentinel a automatisé le processus de création d’un coffre Key Vault pour les widgets d’enrichissement. Pour activer l’expérience des widgets, procédez comme suit :

Étape 1 : créer un coffre Key Vault dédié pour stocker les informations d’identification

1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Comportement des entités.

2. Dans la page Comportement de l’entité, sélectionnez Widgets d’enrichissement (préversion) dans la barre d’outils.

   

3. Dans la Page d’intégration des widgets, sélectionnezCréer un coffre Key Vault.

   

   Une notification du portail Microsoft Azure s’affiche lorsque le déploiement du coffre Key Vault est en cours, puis à nouveau une fois qu’il est terminé.

   À ce stade, vous verrez également que le bouton Créer un coffre Key Vault est désormais grisé, et en regard de celui-ci, le nom de votre nouveau coffre de clés apparaît sous la forme d’un lien. Vous pouvez accéder à la page du coffre de clés en sélectionnant le lien.

   En outre, la section intitulée Étape 2 : ajouter des informations d’identification, précédemment grisée, est désormais disponible.

   

Étape 2 : ajouter des informations d’identification pertinentes au coffre Key Vault de vos widgets

Les sources de données accessibles par tous les widgets disponibles sont répertoriées dans la Page d’intégration des widgets, sous Étape 2 : ajouter des informations d’identification. Vous devez ajouter les informations d’identification de chaque source de données une par une. Pour ce faire, procédez comme suit pour chaque source de données :

1. Consultez les instructions de la section ci-dessous pour rechercher ou créer des informations d’identification pour une source de données donnée. (Vous pouvez également sélectionner le lien Rechercher vos informations d’identification dans la page d’intégration des widgets pour une source de données donnée, ce qui vous redirige vers les mêmes instructions ci-dessous.) Lorsque vous disposez des informations d’identification, mettez-les de côté et passez à l’étape suivante.

2. Sélectionnez Ajouter des informations d’identification pour cette source de données. L’assistant Déploiement personnalisé s’ouvre dans un panneau latéral sur le côté droit de la page.

   Les champs Abonnement, Groupe de ressources, Région et Nom du coffre Key Vault sont tous préremplis et vous n’avez aucune raison de les modifier.

3. Entrez les informations d’identification que vous avez enregistrées dans les champs appropriés dans l’assistant Déploiement personnalisé (clé API, nom d’utilisateur, mot de passe, etc.).

4. Sélectionnez Revoir + créer.

5. L’onglet Révision + création présente un résumé de la configuration, et éventuellement les conditions du contrat.

   

   Remarque

   Avant de sélectionner Créer pour approuver les termes et créer le secret, il est judicieux de dupliquer l’onglet du navigateur actuel, puis de sélectionner Créer dans le nouvel onglet. Cette opération est recommandée car la création du secret vous fait sortir du contexte de Microsoft Sentinel pour entrer dans celui de Key Vault, sans possibilité de retour en arrière. De cette façon, vous disposez de l’ancien onglet sur la page d’intégration des widgets, et le nouvel onglet pour la gestion de vos secrets de coffre de clés.

   Sélectionnez Créer pour approuver les termes et créer le secret.

6. Une nouvelle page s’affiche pour votre nouveau secret, avec un message indiquant que le déploiement est terminé.

   

   Revenez à la page d’intégration des widgets (sous l’onglet de votre navigateur d’origine).

   (Si vous n’avez pas dupliqué l’onglet du navigateur comme indiqué dans la note ci-dessus, ouvrez un nouvel onglet de navigateur et revenez à la page d’intégration des widgets.)

7. Vérifiez que votre nouveau secret a été ajouté au coffre de clés :

   1. Ouvrez le coffre de clés dédié à vos widgets.
   2. Sélectionnez Secrets dans le menu de navigation du coffre de clés.
   3. Vérifiez que le secret de la source du widget a été ajouté à la liste.

Rechercher vos informations d’identification pour chaque source de widget

Cette section contient des instructions pour créer ou rechercher vos informations d’identification pour chacune des sources de données de vos widgets.

Remarque

Toutes les sources de données de widgets ne nécessitent pas d’informations d’identification pour que Microsoft Sentinel y accède.

Informations d’identification pour Virus Total

1. Entrez la clé API définie dans votre compte Virus Total. Vous pouvez créez un compte gratuit Virus Total pour obtenir une clé API.

2. Après avoir sélectionné Créer et déployer le modèle comme décrit dans le paragraphe 6 de l’étape 2 ci-dessus, un secret nommé « Virus Total » est ajouté à votre coffre de clés.

Informations d’identification pour AbuseIPDB

1. Entrez la clé API définie dans votre compte AbuseIPDB. Vous pouvez créez un compte gratuit AbuseIPDB pour obtenir une clé API.

2. Après avoir sélectionné Créer et déployer le modèle comme décrit dans le paragraphe 6 de l’étape 2 ci-dessus, un secret nommé « AbuseIPDB » est ajouté à votre coffre de clés.

Informations d’identification pour Anomali

1. Entrez le nom d’utilisateur et la clé API définis dans votre compte Anomali.

2. Après avoir sélectionné Créer et déployer le modèle comme décrit dans le paragraphe 6 de l’étape 2 ci-dessus, un secret nommé « Anomali » est ajouté à votre coffre de clés.

Informations d’identification pour Recorded Future

1. Entrez votre clé API Recorded Future. Contactez votre représentant Recorded Future pour obtenir votre clé API. Vous pouvez également demander un essai gratuit de 30 jours, en particulier pour les utilisateurs Sentinel.

2. Après avoir sélectionné Créer et déployer le modèle comme décrit dans le paragraphe 6 de l’étape 2 ci-dessus, un secret nommé « Recorded Future » est ajouté à votre coffre de clés.

Informations d’identification pour Microsoft Defender Threat Intelligence

1. Le widget Veille des menaces Microsoft Defender doit récupérer automatiquement les données si vous disposez de la licence Veille des menaces Microsoft Defender appropriée. Aucune information d’identification n’est requise.

2. Si vous n’avez pas la licence appropriée, contactez l’équipe de sécurité Microsoft pour obtenir des conseils.

Ajouter de nouveaux widgets lorsqu’ils deviennent disponibles

Microsoft Sentinel aspire à offrir une vaste collection de widgets, les rendant disponibles dès qu’ils sont prêts. À mesure que de nouveaux widgets deviennent disponibles, leurs sources de données seront ajoutées à la liste dans la page d’intégration des widgets, s’ils ne sont pas déjà là. Lorsque vous voyez des annonces de widgets nouvellement disponibles, consultez la page d’intégration des widgets pour voir les nouvelles sources de données qui n’ont pas encore d’informations d’identification configurées. Pour les configurer, suivez l’étape 2 ci-dessus.

Supprimer l’expérience des widgets

Pour supprimer l’expérience des widgets de Microsoft Sentinel, supprimez simplement le coffre Key Vault que vous avez créé à l’étape 1 ci-dessus.

Résolution des problèmes

Erreurs dans la configuration du widget

Si, dans l’un de vos widgets, vous voyez un message d’erreur à propos de la configuration du widget, comme illustré dans la capture d’écran suivante, vérifiez que vous avez suivi les instructions de configuration ci-dessus et les instructions spécifiques pour votre widget.

Échec de la création du coffre Key Vault

Si vous recevez un message d’erreur lors de la création du coffre Key Vault, il peut y avoir plusieurs raisons :

• Vous n’avez pas le rôle Contributeur sur votre groupe de ressources.

• Votre abonnement n’est pas inscrit auprès du fournisseur de ressources Key Vault.

Échec du déploiement des secrets dans votre coffre Key Vault

Si vous recevez un message d’erreur lors du déploiement d’un secret pour votre source de données de widget, vérifiez ce qui suit :

• Vérifiez que vous avez entré correctement les informations d’identification sources.

• Le modèle ARM fourni peut avoir changé.

Étapes suivantes

Dans cet article, vous avez appris à activer des widgets pour la visualisation des données sur les pages d’entité. Pour plus d’informations sur les pages d’entité et d’autres emplacements où les informations d’entité s’affichent :

• Examiner les entités avec des pages d’entités dans Microsoft Sentinel
• Comprendre les fonctionnalités d’investigation des incidents et de gestion des cas de Microsoft Sentinel