Share via

Habilitar widgets de enriquecimento no Microsoft Sentinel

  • Artigo

Os widgets de enriquecimento são componentes dinâmicos que fornecem inteligência detalhada e acionável sobre as entidades. Eles integram conteúdo e dados externos e internos de várias fontes, permitindo que você entenda melhor as potenciais ameaças à segurança.

Este artigo mostra como habilitar a experiência de widgets de enriquecimento, permitindo que você aproveite essa nova funcionalidade e ajudando você a tomar decisões melhores e mais rápidas.

Importante

No momento, os widgets de enriquecimento estão na VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Habilitar widgets de enriquecimento

Os widgets exigem o uso de credenciais para acessar e manter conexões com suas fontes de dados. Essas credenciais podem estar na forma de chaves de API, nome de usuário/senha ou outros segredos e são armazenadas em um Azure Key Vault dedicado criado para essa finalidade.

Você deve ter a função Colaborador para o grupo de recursos do espaço de trabalho para criar esse Key Vault em seu ambiente.

O Microsoft Sentinel automatiza o processo de criação de um Key Vault para widgets de enriquecimento. Para habilitar a experiência de widgets, execute as duas seguintes etapas:

Etapa 1: Criar um Key Vault dedicado para armazenar credenciais

  1. No menu de navegação do Microsoft Sentinel, selecione Comportamento da entidade.

  2. Na página de Comportamento da entidade, selecione widgets de enriquecimento (versão prévia) na barra de ferramentas.

    Screenshot of the entity behavior page.

  3. Na da Página de Integração de Widgets, selecione Criar Key Vault.

    Screenshot of widget onboarding page instructions to create a key vault.

    Você verá uma notificação do portal do Azure quando a implantação do Key Vault estiver em andamento e novamente quando ela for concluída.

    Nesse ponto, você também verá que o botão Criar Key Vault agora está esmaecido e, ao lado dele, o nome do novo cofre de chaves aparece como um link. Você pode acessar a página do cofre de chaves selecionando o link.

    Além disso, a seção rotulada Etapa 2 – Adicionar credenciais, anteriormente esmaecida, agora está disponível.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

Etapa 2: Adicionar credenciais relevantes ao Key Vault de seus widgets

As fontes de dados acessadas por todos os widgets disponíveis estão listadas na Página de Integração do Widgetsde Página de Integração de Widgets, em Etapa 2 – Adicionar credenciais. Você precisa adicionar as credenciais de cada fonte de dados uma de cada vez. Para fazer isso, execute as seguintes etapas para cada fonte de dados:

  1. Consulte as instruções de na seção abaixo para localizar ou criar credenciais para uma determinada fonte de dados. (Como alternativa, você pode selecionar o Localizar suas credenciais link na Página de Integração de Widgets para uma determinada fonte de dados, que redirecionará você para as mesmas instruções abaixo.) Quando você tiver as credenciais, copie-as de lado e prossiga para a próxima etapa.

  2. Selecione Adicionar credenciais para essa fonte de dados. O assistente de implantação personalizada será aberto em um painel lateral no lado direito da página.

    A Assinatura, grupo de recursos, Regiãoe nome do Key Vault campos são preenchidos previamente e não deve haver motivo para editá-los.

  3. Insira as credenciais salvas nos campos relevantes no assistente de Implantação personalizada do (de chave de API, de nome de usuário, Senhae assim por diante).

  4. Selecione Examinar + criar.

  5. A guia Revisar + criar apresentará um resumo da configuração e, possivelmente, os termos do contrato.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Observação

    Antes de selecionar Criar para aprovar os termos e criar o segredo, é uma boa ideia duplicar a guia do navegador atual e selecionar Criar na nova guia. Isso é recomendado porque a criação do segredo, por enquanto, levará você para fora do contexto do Microsoft Sentinel e para o contexto do Key Vault, sem nenhum caminho de volta direto. Dessa forma, você terá a guia antiga na Página de Integração de Widgets e a nova guia para gerenciar os segredos do cofre de chaves.

    Selecione Criar para aprovar os termos e criar o segredo.

  6. Uma nova página será exibida para seu novo segredo, com uma mensagem informando que a implantação está concluída.

    Screenshot of completed secret deployment.

    Retorne à Página de Integração de Widgets (na guia original do navegador).

    (Se você não duplicar a guia do navegador conforme indicado na Observação acima, abra uma nova guia do navegador e retorne à página de integração de widgets.)

  7. Verifique se o novo segredo foi adicionado ao cofre de chaves:

    1. Abra o cofre de chaves dedicado para seus widgets.
    2. Selecione Segredos no menu de navegação do cofre de chaves.
    3. Veja se o segredo da fonte do widget foi adicionado à lista.

Localizar suas credenciais para cada fonte de widget

Esta seção contém instruções para criar ou localizar suas credenciais para cada fonte de dados de seus widgets.

Observação

Nem todas as fontes de dados do widget exigem credenciais para o Microsoft Sentinel acessá-las.

Credenciais para o Total de Vírus

  1. Insira a chave de API definida em sua conta do Virus Total. Você pode inscrever-se em uma conta gratuita do Virus Total para obter uma chave de API.

  2. Depois de selecionar Criar e implantar o modelo, conforme descrito no parágrafo 6 da Etapa 2 acima, um segredo chamado "Virus Total" será adicionado ao cofre de chaves.

Credenciais para AbuseIPDB

  1. Insira a chave de API definida em sua conta do AbuseIPDB. Você pode inscrever-se em uma conta gratuita do AbuseIPDB para obter uma chave de API.

  2. Depois de selecionar Criar e implantar o modelo, conforme descrito no parágrafo 6 da Etapa 2 acima, um segredo chamado "AbuseIPDB" será adicionado ao cofre de chaves.

Credenciais para Anomali

  1. Insira o nome de usuário e chave de API definida em sua conta Anomali.

  2. Depois de selecionar Criar e implantar o modelo, conforme descrito no parágrafo 6 da Etapa 2 acima, um segredo chamado "Anomali" será adicionado ao cofre de chaves.

Credenciais para o futuro registrado

  1. Insira a chave de API doFuturo Registrado. Entre em contato com seu representante do Futuro Registrado para obter sua chave de API. Você também pode solicitar uma avaliação gratuita de 30 dias, especialmente para usuários do Sentinel.

  2. Depois de selecionar Criar e implantar o modelo, conforme descrito no parágrafo 6 da Etapa 2 acima, um segredo chamado "Futuro Registrado" será adicionado ao cofre de chaves.

Credenciais para Inteligência contra Ameaças do Microsoft Defender

  1. O widget Microsoft Defender Threat Intelligence deve buscar os dados automaticamente se você tiver a licença relevante do Microsoft Defender Threat Intelligence . Não há necessidade de credenciais.

  2. Se você não tiver a licença adequada, entre em contato com a equipe de Segurança da Microsoft para obter orientação.

Adicionar novos widgets quando eles estiverem disponíveis

O Microsoft Sentinel aspira a oferecer uma ampla coleção de widgets, tornando-os disponíveis à medida que estão prontos. À medida que novos widgets estiverem disponíveis, suas fontes de dados serão adicionadas à lista na Página de Integração de Widgets, se ainda não estiverem lá. Quando você vir anúncios de widgets recém-disponíveis, verifique novamente na Página de Integração de Widgets para novas fontes de dados que ainda não têm credenciais configuradas. Para configurá-los, siga a Etapa 2 acima.

Remover experiência de widgets

Para remover a experiência de widgets do Microsoft Sentinel, basta excluir o Key Vault que você criou na Etapa 1 acima.

Solução de problemas

Erros na configuração do widget

Se em um de seus widgets você vir uma mensagem de erro sobre a configuração do widget, por exemplo, conforme mostrado na captura de tela a seguir, verifique se você seguiu as instruções de configuração acima e as instruções específicas para o widget.

Screenshot of widget configuration error message.

Falha ao criar o Key Vault

Se você receber uma mensagem de erro ao criar o Key Vault, poderá haver vários motivos:

  • Você não tem a função Colaborador em seu grupo de recursos.

  • Sua assinatura não está registrada no provedor de recursos do Key Vault.

Falha ao implantar segredos em seu Key Vault

Se você receber uma mensagem de erro ao implantar um segredo para a fonte de dados do widget, verifique o seguinte:

  • Verifique se você inseriu as credenciais de origem corretamente.

  • O modelo do ARM fornecido pode ter sido alterado.

Próximas etapas

Neste artigo, você aprendeu a habilitar widgets para visualização de dados em páginas de entidade. Para obter mais informações sobre páginas de entidade e outros locais em que as informações da entidade são exibidas: