Share via

Microsoft Sentinel でエンリッチメント ウィジェットを有効にする

  • [アーティクル]

エンリッチメント ウィジェットは、エンティティに関する詳細で実用的なインテリジェンスを提供する動的コンポーネントです。 外部および内部のコンテンツとさまざまなソースからのデータを統合することで、潜在的なセキュリティ上の脅威をより良く理解できます。

この記事では、エンリッチメント ウィジェットエクスペリエンスを有効にする方法について説明します。新しい機能を活用し、より良い意思決定を短時間で行うことができます。

重要

エンリッチメント ウィジェットは現在、プレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

エンリッチメント ウィジェットを有効にする

ウィジェットでは、資格情報を使用して、データ ソースへの接続にアクセスして維持する必要があります。 これらの資格情報は、API キー、ユーザー名/パスワード、またはその他のシークレットの形式にすることができます。これらの資格情報は、この目的のために作成した専用の Azure Key Vault に格納されます。

この Key Vault を環境内に作成するには、ワークスペースのリソース グループの共同作成者ロールが必要です。

Microsoft Sentinel では、エンリッチメント ウィジェット用の Key Vault を作成するプロセスが自動化されています。 ウィジェット エクスペリエンスを有効にするには、次の 2 つの手順を実行します。

手順 1: 資格情報を格納する専用の Key Vault を作成する

  1. Microsoft Azure Sentinel のナビゲーション メニューから、 [Entity behavior](エンティティの動作) を選択します。

  2. [エンティティの動作] ページで、ツール バーからエンリッチメント ウィジェット (プレビュー) を選択します。

    Screenshot of the entity behavior page.

  3. [ウィジェットのオンボード] ページで、[Key Vault の作成] を選択します。

    Screenshot of widget onboarding page instructions to create a key vault.

    Key Vault のデプロイが進行中であり、完了すると、Azure portal の通知が表示されます。

    その時点で、[Key Vault の作成] ボタンが淡色表示され、その横に新しいキー コンテナーの名前がリンクとして表示されます。 リンクを選択すると、キー コンテナーのページにアクセスできます。

    また、「手順 2 - 資格情報の追加」ラベルの付いたセクション (以前は淡色表示) を使用できるようになりました。

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

手順 2: ウィジェットの Key Vault に関連する資格情報を追加する

使用可能なすべてのウィジェットによってアクセスされるデータ ソースは、[ウィジェットのオンボード] ページの [手順 2 - 資格情報の追加] の下に一覧表示されます。 各データ ソースの資格情報を一度に 1 つずつ追加する必要があります。 これを行うには、データ ソースごとに次の手順を実行します。

  1. 特定のデータ ソースの資格情報を検索または作成するには、以下のセクションの手順を参照してください。 (または、特定のデータ ソースの ウィジェット オンボーディング ページで [資格情報の検索] リンクを選択して、以下の同じ手順にリダイレクトすることもできます。)資格情報を持っている場合は、別にコピーして、次の手順に進みます。

  2. そのデータ ソースの [資格情報を追加] を選択します。 [カスタム展開] ウィザードが、ページの右側にあるサイド パネルで開きます。

    [サブスクリプション][リソース グループ][リージョン][Key Vault 名] フィールドはすべて事前に設定されており、編集する理由はありません。

  3. [カスタム展開] ウィザードの関連フィールドに保存した資格情報を入力します (API キーユーザー名パスワードなど)。

  4. [Review + create](レビュー + 作成) を選択します。

  5. [確認と作成] タブには、構成の概要と、場合によっては契約の条項が表示されます。

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Note

    [作成] を選択して条項を承認し、シークレットを作成する前に、現在のブラウザー タブを複製してから、新しいタブで [作成] を選択することをおすすめします。現時点では、シークレットを作成すると、Microsoft Sentinel コンテキストから Key Vault コンテキストに移動し、直接戻ることができないため、これをおすすめします。 これにより、[ウィジェットのオンボード] ページに古いタブが残り、キー コンテナー シークレットを管理するための新しいタブが表示されます。

    [作成] を選択して条項を承認し、シークレットを作成します。

  6. 新しいシークレットの新しいページが表示され、デプロイが完了したことを示すメッセージが表示されます。

    Screenshot of completed secret deployment.

    ウィジェット オンボード ページに戻ります (元のブラウザー タブで)。

    (上記の注に示されているようにブラウザー タブを複製しなかった場合は、新しいブラウザー タブを開き、ウィジェット オンボード ページに戻ります)。

  7. 新しいシークレットがキー コンテナーに追加されたことを確認します。

    1. ウィジェット専用のキー コンテナーを開きます。
    2. キー コンテナーのナビゲーション メニューから [シークレット] を選択します。
    3. ウィジェット ソースのシークレットが一覧に追加されたことを確認します。

各ウィジェット ソースの資格情報を検索する

このセクションでは、ウィジェットの各データ ソースの資格情報を作成または検索する手順について説明します。

Note

すべてのウィジェット データ ソースで、Microsoft Sentinel がそれらにアクセスするために資格情報を必要とするわけではありません。

Virus Total の資格情報

  1. Virus Total アカウントで定義された API キーを入力します。 無料の Virus Total アカウントにサインアップして API キーを取得できます。

  2. [作成] を選択し、上記の手順 2 の段落 6 で説明されているようにテンプレートをデプロイすると、"Virus Total" という名前のシークレットがキー コンテナーに追加されます。

AbuseIPDB の資格情報

  1. AbuseIPDB アカウントで定義された API キーを入力します。 無料の AbuseIPDB アカウントにサインアップして API キーを取得できます。

  2. [作成] を選択し、上記の手順 2 の段落 6 で説明されているようにテンプレートをデプロイすると、"AbuseIPDB" という名前のシークレットがキー コンテナーに追加されます。

Anomali の資格情報

  1. Anomali アカウントで定義されたユーザー名API キーを入力 します。

  2. [作成] を選択し、上記の手順 2 の段落 6 で説明されているようにテンプレートをデプロイすると、"Anomali" という名前のシークレットがキー コンテナーに追加されます。

Recorded Future の資格情報

  1. Recorded Future の API キーを入力します。 API キーを取得するには、Recorded Future の担当者にお問い合わせください。 特に Sentinel ユーザーの場合、30 日間の無料トライアルを申し込むこともできます。

  2. [作成] を選択し、上記の手順 2 の段落 6 で説明されているようにテンプレートをデプロイすると、"Recorded Future" という名前のシークレットがキー コンテナーに追加されます。

Microsoft Defender 脅威インテリジェンスの資格情報

  1. 関連するMicrosoft Defender 脅威インテリジェンス ライセンスがある場合、Microsoft Defender 脅威インテリジェンス ウィジェットはデータを自動的にフェッチする必要があります。 資格情報は必要ありません。

  2. 適切なライセンスをお持ちでない場合は、 Microsoft セキュリティ チーム にお問い合わせください。

新しいウィジェットが使用可能になったときに追加する

Microsoft Sentinel は、ウィジェットの幅広いコレクションを提供し、準備ができたら使用可能にすることを目指しています。 新しいウィジェットが使用可能になると、そのデータ ソースがまだ存在しない場合は、[ウィジェット オンボード] ページの一覧に追加されます。 新しく使用可能なウィジェットのお知らせが表示されたら、[ウィジェット オンボード] ページで、まだ資格情報が構成されていない新しいデータ ソースを確認してください。 これらを構成するには、上記の手順 2 に従ってください

ウィジェット エクスペリエンスを削除する

Microsoft Sentinel からウィジェット エクスペリエンスを削除するには、上記の手順 1 で作成した Key Vault を削除します。

トラブルシューティング

ウィジェット構成のエラー

たとえば次のスクリーンショットに示すように、ウィジェットの 1 つでウィジェット構成に関するエラー メッセージが表示された場合は、上記の構成手順ウィジェットの特定の手順に従っていることを確認してください。

Screenshot of widget configuration error message.

Key Vault の作成に失敗する

Key Vault の作成時にエラー メッセージが表示される場合は、複数の理由が考えられます。

  • リソース グループに対する共同作成者ロールがありません。

  • サブスクリプションが Key Vault リソース プロバイダーに登録されていません。

Key Vault にシークレットをデプロイできない

ウィジェット データ ソースのシークレットをデプロイするときにエラー メッセージが表示される場合は、次を確認します。

  • ソース資格情報を正しく入力したことを確認します。

  • 指定された ARM テンプレートが変更されている可能性があります。

次のステップ

この記事では、エンティティ ページでデータ視覚化のウィジェットを有効にする方法について説明しました。 エンティティ ページとエンティティ情報が表示されるその他の場所の詳細については、次を参照してください。