Megosztás a következőn keresztül:

Bővítő widgetek engedélyezése a Microsoft Sentinelben

  • Cikk

A bővítési widgetek olyan dinamikus összetevők, amelyek részletes, végrehajtható intelligenciát biztosítanak az entitásokról. A különböző forrásokból származó külső és belső tartalmakat és adatokat integrálják, így jobban megértheti a lehetséges biztonsági fenyegetéseket.

Ez a cikk bemutatja, hogyan engedélyezheti a bővítő widgetek használatát, így kihasználhatja ezt az új képességet, és segíthet a jobb és gyorsabb döntések meghozatalában.

Fontos

A bővítési widgetek jelenleg előzetes verzióban érhetők el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Bővítő widgetek engedélyezése

A widgetekhez hitelesítő adatokra van szükség az adatforrásokhoz való hozzáféréshez és a kapcsolatok fenntartásához. Ezek a hitelesítő adatok LEHETNEK API-kulcsok, felhasználónév/jelszó vagy más titkos kódok, és ezek egy erre a célra létrehozott dedikált Azure Key Vaultban vannak tárolva.

A Key Vault környezetbeli létrehozásához a munkaterület erőforráscsoportjához közreműködői szerepkör szükséges.

A Microsoft Sentinel automatizálta a Key Vault létrehozásának folyamatát a bővítő widgetek számára. A widgetek felületének engedélyezéséhez hajtsa végre az alábbi két lépést:

1. lépés: Dedikált Key Vault létrehozása hitelesítő adatok tárolásához

  1. A Microsoft Sentinel navigációs menüjében válassza az Entitás viselkedése lehetőséget.

  2. Az Entitás viselkedése lapon válassza az eszköztár Dúsítási widgetek (előzetes verzió) elemét.

    Screenshot of the entity behavior page.

  3. A Widgetek előkészítési lapján válassza a Kulcstartó létrehozása lehetőséget.

    Screenshot of widget onboarding page instructions to create a key vault.

    Egy Azure Portal-értesítés jelenik meg, ha a Key Vault üzembe helyezése folyamatban van, és újra, amikor befejeződött.

    Ekkor azt is láthatja, hogy a Key Vault létrehozása gomb kiszürkítve jelenik meg, mellette pedig hivatkozásként jelenik meg az új kulcstartó neve. A kulcstartó oldalához a hivatkozás kiválasztásával férhet hozzá.

    A 2. lépés – Hitelesítő adatok hozzáadása korábban szürkítve feliratú szakasz is elérhető.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

2. lépés: Releváns hitelesítő adatok hozzáadása a widgetek Key Vaultjához

Az összes elérhető widget által elért adatforrások a widgetek előkészítési oldalán, a 2. lépés – Hitelesítő adatok hozzáadása területen jelennek meg. Az adatforrások hitelesítő adatait egyenként kell hozzáadnia. Ehhez hajtsa végre az alábbi lépéseket az egyes adatforrások esetében:

  1. Az adott adatforrás hitelesítő adatainak megkereséséhez vagy létrehozásához tekintse meg az alábbi szakaszban található utasításokat. (Másik lehetőségként kiválaszthatja a Keresse meg a hitelesítő adatok hivatkozását a widgetek előkészítési oldalán egy adott adatforráshoz, amely átirányítja Önt az alábbi utasításokhoz.) Ha rendelkezik a hitelesítő adatokkal, másolja őket félre, és folytassa a következő lépésben.

  2. Válassza a Hitelesítő adatok hozzáadása az adatforráshoz lehetőséget. Az Egyéni üzembehelyezési varázsló a lap jobb oldalán egy oldalsó panelen nyílik meg.

    Az Előfizetés, az Erőforráscsoport, a Régió és a Key Vault névmezője előre ki van töltve, és nincs ok a szerkesztésükre.

  3. Adja meg az Egyéni üzembe helyezés varázsló megfelelő mezőibe mentett hitelesítő adatokat (API-kulcs, felhasználónév, jelszó stb.).

  4. Válassza az Áttekintés + létrehozás lehetőséget.

  5. A Véleményezés + létrehozás lap megjeleníti a konfiguráció összegzését, és esetleg a szerződés feltételeit.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Feljegyzés

    Mielőtt a Létrehozás lehetőséget választja a feltételek jóváhagyásához és a titkos kód létrehozásához, célszerű duplikálni az aktuális böngészőlapot, majd az új lapon válassza a Létrehozás lehetőséget. Ez azért ajánlott, mert a titkos kód létrehozása egyelőre a Microsoft Sentinel környezeten kívülre és a Key Vault környezetébe viszi, közvetlen visszaút nélkül. Így a régi lap marad a widgetek előkészítési lapján, valamint a kulcstartó titkos kulcsainak kezelésére szolgáló új lapon.

    Válassza a Létrehozás lehetőséget a feltételek jóváhagyásához és a titkos kód létrehozásához.

  6. Megjelenik egy új lap az új titkos kódhoz, és az üzembe helyezés befejezéséről szóló üzenet jelenik meg.

    Screenshot of completed secret deployment.

    Térjen vissza a widgetek előkészítési lapjára (az eredeti böngészőlapon).

    (Ha nem duplikálta meg a böngészőlapot a fenti megjegyzésben leírtak szerint, nyisson meg egy új böngészőlapot, és térjen vissza a widgetek előkészítési oldalára.)

  7. Ellenőrizze, hogy az új titkos kód hozzá lett-e adva a kulcstartóhoz:

    1. Nyissa meg a widgetekhez dedikált kulcstartót.
    2. Válassza a Titkos kulcsok lehetőséget a Key Vault navigációs menüjében.
    3. Ellenőrizze, hogy a widget forrásának titkos kódja fel lett-e véve a listára.

Az egyes vezérlők forrásának hitelesítő adatainak megkeresése

Ez a szakasz útmutatást tartalmaz a hitelesítő adatok létrehozásához vagy megkereséséhez az egyes widgetek adatforrásaihoz.

Feljegyzés

Nem minden widget-adatforráshoz van szükség hitelesítő adatokra a Microsoft Sentinel számára a hozzáféréshez.

A vírusösszeg hitelesítő adatai

  1. Adja meg a Virus Total fiókban definiált API-kulcsot . Regisztrálhat egy ingyenes Virus Total-fiókra egy API-kulcs lekéréséhez.

  2. Miután kiválasztotta a sablon létrehozását és üzembe helyezését a fenti 2. lépés 6. bekezdésében leírtak szerint, a rendszer hozzáad egy "Virus Total" nevű titkos kulcsot a kulcstartóhoz.

A AbuseIPDB hitelesítő adatai

  1. Adja meg a AbuseIPDB-fiókban definiált API-kulcsot . Regisztrálhat egy ingyenes AbuseIPDB-fiókra egy API-kulcs lekéréséhez.

  2. Miután kiválasztotta a sablon létrehozását és üzembe helyezését a fenti 2. lépés 6. bekezdésében leírtak szerint, a rendszer hozzáad egy "AbuseIPDB" nevű titkos kulcsot a kulcstartóhoz.

Az Anomali hitelesítő adatai

  1. Adja meg az Anomali-fiókban definiált felhasználónevet és API-kulcsot .

  2. Miután kiválasztotta a sablon létrehozását és üzembe helyezését a fenti 2. lépés 6. bekezdésében leírtak szerint, a rendszer hozzáad egy "Anomali" nevű titkos kulcsot a kulcstartóhoz.

Hitelesítő adatok a rögzített jövőhöz

  1. Adja meg a rögzített jövőbeli API-kulcsot. Az API-kulcs lekéréséhez lépjen kapcsolatba a rögzített jövő képviselőjével. 30 napos ingyenes próbaverzióra is jelentkezhet, különösen a Sentinel felhasználói számára.

  2. Miután kiválasztotta a sablon létrehozását és üzembe helyezését a fenti 2. lépés 6. bekezdésében leírtak szerint, a rendszer hozzáad egy "Rögzített jövő" nevű titkos kulcsot a kulcstartóhoz.

Hitelesítő adatok Microsoft Defender Intelligens veszélyforrás-felderítés

  1. A Microsoft Defender Intelligens veszélyforrás-felderítés widgetnek automatikusan le kell kérnie az adatokat, ha rendelkezik a megfelelő Microsoft Defender Intelligens veszélyforrás-felderítés licenccel. Nincs szükség hitelesítő adatokra.

  2. Ha nem rendelkezik a megfelelő licenccel, útmutatásért forduljon a Microsoft biztonsági csapatához .

Új widgetek hozzáadása, amikor elérhetővé válnak

A Microsoft Sentinel arra törekszik, hogy számos widgetet kínáljon, így azok készen állnak. Az új widgetek elérhetővé válása után az adatforrások fel lesznek véve a widgetek előkészítési oldalán lévő listára, ha még nincsenek ott. Amikor megjelenik az újonnan elérhető widgetek bejelentése, ellenőrizze a widgetek előkészítési oldalán, hogy vannak-e olyan új adatforrások, amelyek még nincsenek konfigurálva hitelesítő adatokkal. Konfigurálásához kövesse a fenti 2. lépést.

A widgetek felületének eltávolítása

Ha el szeretné távolítani a widgetek felületét a Microsoft Sentinelből, egyszerűen törölje a fenti 1. lépésben létrehozott Key Vaultot.

Hibaelhárítás

Hibák a widget konfigurációjában

Ha az egyik widgetben hibaüzenet jelenik meg a widget konfigurációjáról, például az alábbi képernyőképen látható módon, ellenőrizze, hogy követte-e a fenti konfigurációs utasításokat és a widgetre vonatkozó utasításokat.

Screenshot of widget configuration error message.

Nem sikerült létrehozni a Key Vaultot

Ha hibaüzenet jelenik meg a Key Vault létrehozásakor, több oka is lehet:

  • Nincs közreműködői szerepköre az erőforráscsoportban.

  • Az előfizetés nincs regisztrálva a Key Vault erőforrás-szolgáltatójánál.

Titkos kulcsok központi telepítése sikertelen a Key Vaultban

Ha hibaüzenet jelenik meg a widget adatforrásához tartozó titkos kód üzembe helyezésekor, ellenőrizze az alábbiakat:

  • Ellenőrizze, hogy helyesen adta-e meg a forrás hitelesítő adatait.

  • Előfordulhat, hogy a megadott ARM-sablon módosult.

Következő lépések

Ebben a cikkben megtanulhatta, hogyan engedélyezheti a widgeteket az adatvizualizációhoz az entitásoldalakon. További információ az entitásoldalakról és más helyekről, ahol az entitásadatok megjelennek: