Włączanie widżetów wzbogacania w usłudze Microsoft Sentinel

  • Artykuł

Widżety wzbogacania to składniki dynamiczne, które zapewniają dogłębną, możliwą do działania analizę jednostek. Integrują zewnętrzną i wewnętrzną zawartość i dane z różnych źródeł, co pozwala lepiej zrozumieć potencjalne zagrożenia bezpieczeństwa.

W tym artykule pokazano, jak włączyć środowisko widżetów wzbogacania, co pozwala na korzystanie z tej nowej funkcji i pomaga w podejmowaniu lepszych, szybszych decyzji.

Ważne

Widżety wzbogacania są obecnie dostępne w wersji ZAPOZNAWCZEJ. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Włączanie widżetów wzbogacania

Widżety wymagają użycia poświadczeń w celu uzyskiwania dostępu do źródeł danych i ich obsługi. Te poświadczenia mogą być w postaci kluczy interfejsu API, nazwy użytkownika/hasła lub innych wpisów tajnych i są przechowywane w dedykowanej usłudze Azure Key Vault utworzonej w tym celu.

Aby utworzyć tę usługę Key Vault w środowisku, musisz mieć rolę Współautor dla grupy zasobów obszaru roboczego.

Usługa Microsoft Sentinel zautomatyzowała proces tworzenia usługi Key Vault na potrzeby widżetów wzbogacania. Aby włączyć środowisko widżetów, wykonaj następujące dwa kroki:

Krok 1. Tworzenie dedykowanego magazynu kluczy do przechowywania poświadczeń

  1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Zachowanie jednostki.

  2. Na stronie Zachowanie jednostki wybierz pozycję Widżety wzbogacania (wersja zapoznawcza) na pasku narzędzi.

    Screenshot of the entity behavior page.

  3. Na stronie Dołączanie widżetów wybierz pozycję Utwórz magazyn kluczy.

    Screenshot of widget onboarding page instructions to create a key vault.

    Po zakończeniu wdrażania usługi Key Vault zostanie wyświetlone powiadomienie w witrynie Azure Portal.

    W tym momencie zobaczysz również, że przycisk Utwórz usługę Key Vault jest teraz wyszaryzowany i obok niego nazwa nowego magazynu kluczy jest wyświetlana jako link. Aby uzyskać dostęp do strony magazynu kluczy, wybierz link.

    Ponadto sekcja oznaczona etykietą Krok 2 — Dodawanie poświadczeń, wcześniej wyszaranych, jest teraz dostępna.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

Krok 2. Dodawanie odpowiednich poświadczeń do usługi Key Vault widżetów

Źródła danych dostępne we wszystkich dostępnych widżetach są wyświetlane na stronie dołączania widżetów w obszarze Krok 2 — Dodawanie poświadczeń. Należy jednocześnie dodać poświadczenia każdego źródła danych. W tym celu wykonaj następujące kroki dla każdego źródła danych:

  1. Zapoznaj się z instrukcjami w poniższej sekcji, aby znaleźć lub utworzyć poświadczenia dla danego źródła danych. (Alternatywnie możesz wybrać Znajdź link poświadczeń na stronie dołączania widżetów dla danego źródła danych, co spowoduje przekierowanie do tych samych instrukcji poniżej. Po utworzeniu poświadczeń skopiuj je na bok i przejdź do następnego kroku.

  2. Wybierz pozycję Dodaj poświadczenia dla tego źródła danych. Kreator wdrażania niestandardowego zostanie otwarty w panelu bocznym po prawej stronie.

    Wszystkie pola nazwa subskrypcji, grupy zasobów, regionu i usługi Key Vault są wstępnie wypełnione i nie powinno być powodu ich edytowania.

  3. Wprowadź poświadczenia zapisane w odpowiednich polach w kreatorze wdrażania niestandardowego (klucz interfejsu API, nazwa użytkownika, hasło itd.).

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Karta Przeglądanie i tworzenie zawiera podsumowanie konfiguracji i prawdopodobnie warunki umowy.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Uwaga

    Przed wybraniem pozycji Utwórz , aby zatwierdzić warunki i utworzyć wpis tajny, dobrym pomysłem jest zduplikowanie bieżącej karty przeglądarki, a następnie wybranie pozycji Utwórz na nowej karcie. Jest to zalecane, ponieważ na razie utworzenie wpisu tajnego spowoduje przejście poza kontekst usługi Microsoft Sentinel i do kontekstu usługi Key Vault bez bezpośredniego powrotu. Dzięki temu stara karta pozostanie na stronie dołączania widżetów oraz nowa karta do zarządzania wpisami tajnymi magazynu kluczy.

    Wybierz pozycję Utwórz , aby zatwierdzić warunki i utworzyć wpis tajny.

  6. Zostanie wyświetlona nowa strona nowego wpisu tajnego z komunikatem informującym o zakończeniu wdrażania.

    Screenshot of completed secret deployment.

    Wróć do strony dołączania widżetów (na oryginalnej karcie przeglądarki).

    (Jeśli karta przeglądarki nie zostanie zduplikowana zgodnie z powyższymi uwagami, otwórz nową kartę przeglądarki i wróć do strony dołączania widżetów).

  7. Sprawdź, czy nowy wpis tajny został dodany do magazynu kluczy:

    1. Otwórz magazyn kluczy przeznaczony dla Twoich widżetów.
    2. Wybierz pozycję Wpisy tajne z menu nawigacji magazynu kluczy.
    3. Sprawdź, czy wpis tajny źródła widżetu został dodany do listy.

Znajdowanie poświadczeń dla każdego źródła widżetu

Ta sekcja zawiera instrukcje dotyczące tworzenia lub znajdowania poświadczeń dla poszczególnych źródeł danych widżetów.

Uwaga

Nie wszystkie źródła danych widżetu wymagają poświadczeń, aby usługa Microsoft Sentinel uzyskiwała do nich dostęp.

Poświadczenia dla sumy wirusów

  1. Wprowadź klucz interfejsu API zdefiniowany na koncie Suma wirusów. Aby uzyskać klucz interfejsu API, możesz zarejestrować się w celu uzyskania bezpłatnego konta virus total.

  2. Po wybraniu pozycji Utwórz i wdrożeniu szablonu zgodnie z opisem w punkcie 6 z kroku 2 powyżej do magazynu kluczy zostanie dodany wpis tajny o nazwie "Suma wirusa".

Poświadczenia dotyczące nadużyćIPDB

  1. Wprowadź klucz interfejsu API zdefiniowany na koncie AbuseIPDB. Aby uzyskać klucz interfejsu API, możesz utworzyć bezpłatne konto AbuseIPDB.

  2. Po wybraniu pozycji Utwórz i wdrożeniu szablonu zgodnie z opisem w punkcie 6 kroku 2 powyżej do magazynu kluczy zostanie dodany wpis tajny o nazwie "AbuseIPDB".

Poświadczenia dla anomalii

  1. Wprowadź nazwę użytkownika i klucz interfejsu API zdefiniowany na koncie anomalii.

  2. Po wybraniu pozycji Utwórz i wdrożeniu szablonu zgodnie z opisem w punkcie 6 kroku 2 powyżej do magazynu kluczy zostanie dodany wpis tajny o nazwie "Anomali".

Poświadczenia dla zarejestrowanej przyszłości

  1. Wprowadź klucz zarejestrowanego przyszłego interfejsu API. Skontaktuj się z przedstawicielem zarejestrowanej przyszłości, aby uzyskać klucz interfejsu API. Możesz również ubiegać się o 30-dniową bezpłatną wersję próbną, szczególnie dla użytkowników usługi Sentinel.

  2. Po wybraniu pozycji Utwórz i wdrożeniu szablonu zgodnie z opisem w pkt 6 z kroku 2 powyżej do magazynu kluczy zostanie dodany wpis tajny o nazwie "Zarejestrowana przyszłość".

Poświadczenia analizy zagrożeń w usłudze Microsoft Defender

  1. Widżet Analizy zagrożeń w usłudze Microsoft Defender powinien pobrać dane automatycznie, jeśli masz odpowiednią licencję usługi Microsoft Defender Threat Intelligence . Nie ma potrzeby poświadczeń.

  2. Jeśli nie masz odpowiedniej licencji, skontaktuj się z zespołem ds. zabezpieczeń firmy Microsoft, aby uzyskać wskazówki.

Dodawanie nowych widżetów po udostępnieniu

Usługa Microsoft Sentinel aspiruje do zaoferowania szerokiej kolekcji widżetów, dzięki czemu są one dostępne, gdy są gotowe. Gdy nowe widżety staną się dostępne, ich źródła danych zostaną dodane do listy na stronie dołączania widżetów, jeśli nie są jeszcze tam. Po wyświetleniu anonsów nowo dostępnych widżetów sprawdź ponownie stronę dołączania widżetów, aby uzyskać nowe źródła danych, które nie mają jeszcze skonfigurowanych poświadczeń. Aby je skonfigurować, wykonaj krok 2 powyżej.

Usuwanie środowiska widżetów

Aby usunąć środowisko widżetów z usługi Microsoft Sentinel, po prostu usuń usługę Key Vault utworzoną w kroku 1 powyżej.

Rozwiązywanie problemów

Błędy w konfiguracji widżetu

Jeśli w jednym z widżetów zostanie wyświetlony komunikat o błędzie dotyczący konfiguracji widżetu, na przykład jak pokazano na poniższym zrzucie ekranu, sprawdź, czy zostały wyświetlone powyższe instrukcje dotyczące konfiguracji oraz konkretne instrukcje dotyczące widżetu.

Screenshot of widget configuration error message.

Nie można utworzyć usługi Key Vault

Jeśli podczas tworzenia usługi Key Vault zostanie wyświetlony komunikat o błędzie, może istnieć wiele powodów:

  • Nie masz roli Współautor w grupie zasobów.

  • Twoja subskrypcja nie jest zarejestrowana u dostawcy zasobów usługi Key Vault.

Nie można wdrożyć wpisów tajnych w usłudze Key Vault

Jeśli podczas wdrażania wpisu tajnego dla źródła danych widżetu zostanie wyświetlony komunikat o błędzie, sprawdź następujące kwestie:

  • Sprawdź, czy poświadczenia źródłowe zostały wprowadzone poprawnie.

  • Podany szablon usługi ARM mógł ulec zmianie.

Następne kroki

W tym artykule przedstawiono sposób włączania widżetów wizualizacji danych na stronach jednostek. Aby uzyskać więcej informacji na temat stron jednostek i innych miejsc, w których są wyświetlane informacje o jednostce: