Condividi tramite

Abilitare i widget di arricchimento in Microsoft Sentinel

  • Articolo

I widget di arricchimento sono componenti dinamici che forniscono informazioni approfondite e interattive sulle entità. Integrano contenuto esterno e interno e dati da varie origini, consentendo una migliore comprensione delle potenziali minacce alla sicurezza.

Questo articolo illustra come abilitare l'esperienza dei widget di arricchimento, consentendo di sfruttare questa nuova funzionalità e di prendere decisioni migliori e più rapide.

Importante

I widget di arricchimento sono attualmente disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Abilitare i widget di arricchimento

I widget richiedono l'uso delle credenziali per accedere e gestire le connessioni alle origini dati. Queste credenziali possono essere sotto forma di chiavi API, nome utente/password o altri segreti e vengono archiviate in un insieme di credenziali delle chiavi di Azure dedicato creato a questo scopo.

Per creare questo insieme di credenziali delle chiavi nell'ambiente, è necessario avere il ruolo Collaboratore per il gruppo di risorse dell'area di lavoro.

Microsoft Sentinel ha automatizzato il processo di creazione di un insieme di credenziali delle chiavi per i widget di arricchimento. Per abilitare l'esperienza dei widget, seguire questa procedura:

Passaggio 1: Creare un insieme di credenziali delle chiavi dedicato per archiviare le credenziali

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Comportamento entità.

  2. Nella pagina Comportamento entità selezionare Widget di arricchimento (anteprima) sulla barra degli strumenti.

    Screenshot of the entity behavior page.

  3. Nella pagina Onboarding dei widget selezionare Crea insieme di credenziali delle chiavi.

    Screenshot of widget onboarding page instructions to create a key vault.

    Verrà visualizzata una notifica di portale di Azure quando è in corso la distribuzione di Key Vault e ancora una volta completata.

    A questo punto si noterà anche che il pulsante Crea insieme di credenziali delle chiavi è ora disattivato e, accanto a esso, il nome del nuovo insieme di credenziali delle chiavi viene visualizzato come collegamento. È possibile accedere alla pagina dell'insieme di credenziali delle chiavi selezionando il collegamento.

    Inoltre, la sezione con etichetta Passaggio 2 - Aggiungere le credenziali, in precedenza disattivata, è ora disponibile.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

Passaggio 2: Aggiungere le credenziali pertinenti all'insieme di credenziali delle chiavi dei widget

Le origini dati a cui si accede da tutti i widget disponibili sono elencate nella pagina Di onboarding dei widget, in Passaggio 2 - Aggiungere credenziali. È necessario aggiungere le credenziali di ogni origine dati una alla volta. A tale scopo, seguire questa procedura per ogni origine dati:

  1. Vedere le istruzioni nella sezione seguente per trovare o creare credenziali per una determinata origine dati. In alternativa, è possibile selezionare Trovare il collegamento delle credenziali nella pagina di onboarding dei widget per una determinata origine dati, che reindirizzerà le stesse istruzioni riportate di seguito. Dopo aver ottenuto le credenziali, copiarle e procedere con il passaggio successivo.

  2. Selezionare Aggiungi credenziali per l'origine dati. La distribuzione guidata personalizzata verrà aperta in un pannello laterale sul lato destro della pagina.

    I campi Sottoscrizione, Gruppo di risorse, Area e Nome dell'insieme di credenziali delle chiavi sono tutti precompilato e non dovrebbero esserci motivi per modificarli.

  3. Immettere le credenziali salvate nei campi pertinenti nella Procedura guidata distribuzione personalizzata (chiave API, nome utente, password e così via).

  4. Selezionare Rivedi e crea.

  5. La scheda Rivedi e crea presenta un riepilogo della configurazione ed eventualmente le condizioni del contratto.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Nota

    Prima di selezionare Crea per approvare i termini e creare il segreto, è consigliabile duplicare la scheda del browser corrente e quindi selezionare Crea nella nuova scheda. Questa operazione è consigliata perché per il momento la creazione del segreto consente di uscire dal contesto di Microsoft Sentinel e di accedere al contesto di Key Vault, senza alcun modo diretto. In questo modo, la scheda precedente rimarrà nella pagina Di onboarding dei widget e nella nuova scheda per la gestione dei segreti dell'insieme di credenziali delle chiavi.

    Selezionare Crea per approvare i termini e creare il segreto.

  6. Verrà visualizzata una nuova pagina per il nuovo segreto, con un messaggio che indica che la distribuzione è stata completata.

    Screenshot of completed secret deployment.

    Tornare alla pagina onboarding dei widget (nella scheda originale del browser).

    Se la scheda del browser non è stata duplicata come indicato nella nota precedente, aprire una nuova scheda del browser e tornare alla pagina di onboarding dei widget.

  7. Verificare che il nuovo segreto sia stato aggiunto all'insieme di credenziali delle chiavi:

    1. Aprire l'insieme di credenziali delle chiavi dedicato per i widget.
    2. Selezionare Segreti dal menu di spostamento dell'insieme di credenziali delle chiavi.
    3. Verificare che il segreto dell'origine del widget sia stato aggiunto all'elenco.

Trovare le credenziali per ogni origine widget

Questa sezione contiene istruzioni per la creazione o la ricerca delle credenziali per ognuna delle origini dati dei widget.

Nota

Non tutte le origini dati del widget richiedono credenziali per consentire a Microsoft Sentinel di accedervi.

Credenziali per il totale virus

  1. Immettere la chiave API definita nell'account Virus Total. Per ottenere una chiave API, è possibile iscriversi per ottenere un account virus totale gratuito.

  2. Dopo aver selezionato Crea e distribuisci il modello come descritto nel paragrafo 6 del passaggio 2 precedente, all'insieme di credenziali delle chiavi verrà aggiunto un segreto denominato "Totale virus".

Credenziali per AbuseIPDB

  1. Immettere la chiave API definita nell'account AbuseIPDB. Per ottenere una chiave API, è possibile iscriversi per ottenere un account AbuseIPDB gratuito.

  2. Dopo aver selezionato Crea e distribuisci il modello come descritto nel paragrafo 6 del passaggio 2 precedente, all'insieme di credenziali delle chiavi verrà aggiunto un segreto denominato "AbuseIPDB".

Credenziali per Anomali

  1. Immettere il nome utente e la chiave API definiti nell'account Anomali.

  2. Dopo aver selezionato Crea e distribuisci il modello come descritto nel paragrafo 6 del passaggio 2 precedente, all'insieme di credenziali delle chiavi verrà aggiunto un segreto denominato "Anomali".

Credenziali per il futuro registrato

  1. Immettere la chiave API Future registrata. Per ottenere la chiave API, contattare il rappresentante Recorded Future. È anche possibile richiedere una versione di valutazione gratuita di 30 giorni, in particolare per gli utenti di Sentinel.

  2. Dopo aver selezionato Crea e distribuisci il modello come descritto nel paragrafo 6 del passaggio 2 precedente, all'insieme di credenziali delle chiavi verrà aggiunto un segreto denominato "Recorded Future".

Credenziali per Microsoft Defender Threat Intelligence

  1. Il widget Microsoft Defender Threat Intelligence deve recuperare automaticamente i dati se si dispone della licenza di Microsoft Defender Threat Intelligence pertinente. Non sono necessarie credenziali.

  2. Se non si ha la licenza appropriata, contattare il team di sicurezza Microsoft per indicazioni.

Aggiungere nuovi widget quando diventano disponibili

Microsoft Sentinel aspira a offrire un'ampia raccolta di widget, rendendoli disponibili così come sono pronti. Man mano che i nuovi widget diventano disponibili, le origini dati verranno aggiunte all'elenco nella pagina di onboarding dei widget, se non sono già presenti. Quando vengono visualizzati gli annunci dei nuovi widget disponibili, tornare alla pagina di onboarding dei widget per le nuove origini dati che non hanno ancora le credenziali configurate. Per configurarli, seguire il passaggio 2 precedente.

Rimuovere l'esperienza dei widget

Per rimuovere l'esperienza dei widget da Microsoft Sentinel, eliminare semplicemente l'insieme di credenziali delle chiavi creato nel passaggio 1 precedente.

Risoluzione dei problemi

Errori nella configurazione del widget

Se in uno dei widget viene visualizzato un messaggio di errore sulla configurazione del widget, ad esempio come illustrato nello screenshot seguente, verificare di aver seguito le istruzioni di configurazione precedenti e le istruzioni specifiche per il widget.

Screenshot of widget configuration error message.

Errore durante la creazione dell'insieme di credenziali delle chiavi

Se viene visualizzato un messaggio di errore durante la creazione dell'insieme di credenziali delle chiavi, potrebbero esserci diversi motivi:

  • Non si ha il ruolo Collaboratore nel gruppo di risorse.

  • La sottoscrizione non è registrata nel provider di risorse di Key Vault.

Errore di distribuzione dei segreti nell'insieme di credenziali delle chiavi

Se viene visualizzato un messaggio di errore durante la distribuzione di un segreto per l'origine dati del widget, verificare quanto segue:

  • Verificare di aver immesso correttamente le credenziali di origine.

  • È possibile che il modello di Resource Manager fornito sia stato modificato.

Passaggi successivi

In questo articolo si è appreso come abilitare i widget per la visualizzazione dei dati nelle pagine di entità. Per altre informazioni sulle pagine di entità e altre posizioni in cui vengono visualizzate le informazioni sull'entità: