Aktivera berikningswidgetar i Microsoft Sentinel

  • Artikel

Berikningswidgetar är dynamiska komponenter som ger dig djupgående och användbar information om entiteter. De integrerar externt och internt innehåll och data från olika källor, vilket ger dig en bättre förståelse för potentiella säkerhetshot.

Den här artikeln visar hur du aktiverar berikande widgetar, så att du kan dra nytta av den här nya funktionen och hjälpa dig att fatta bättre och snabbare beslut.

Viktigt!

Berikningswidgetar finns för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Aktivera berikningswidgetar

Widgetar kräver att autentiseringsuppgifter används för att komma åt och underhålla anslutningar till deras datakällor. Dessa autentiseringsuppgifter kan vara i form av API-nycklar, användarnamn/lösenord eller andra hemligheter, och de lagras i ett dedikerat Azure Key Vault som du skapar för detta ändamål.

Du måste ha rollen Deltagare för arbetsytans resursgrupp för att kunna skapa nyckelvalvet i din miljö.

Microsoft Sentinel har automatiserat processen med att skapa ett Key Vault för berikningswidgetar. Utför följande två steg för att aktivera widgetupplevelsen:

Steg 1: Skapa ett dedikerat Key Vault för att lagra autentiseringsuppgifter

  1. På Microsoft Sentinel-navigeringsmenyn väljer du Entitetsbeteende.

  2. På sidan Entitetsbeteende väljer du Berikningswidgetar (förhandsversion) i verktygsfältet.

    Screenshot of the entity behavior page.

  3. På sidan Registrering av widgetar väljer du Skapa nyckelvalv.

    Screenshot of widget onboarding page instructions to create a key vault.

    Du får ett meddelande i Azure-portalen när Key Vault-distributionen pågår och igen när den har slutförts.

    Då ser du också att knappen Skapa nyckelvalv nu är nedtonad, och bredvid den visas namnet på det nya nyckelvalvet som en länk. Du kan komma åt nyckelvalvets sida genom att välja länken.

    Dessutom är avsnittet med etiketten Steg 2 – Lägg till autentiseringsuppgifter, tidigare nedtonat, nu tillgängligt.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

Steg 2: Lägga till relevanta autentiseringsuppgifter i dina widgetars Key Vault

De datakällor som nås av alla tillgängliga widgetar visas på sidan Registrering av widgetar under Steg 2 – Lägg till autentiseringsuppgifter. Du måste lägga till autentiseringsuppgifterna för varje datakälla en i taget. Gör det genom att utföra följande steg för varje datakälla:

  1. Se anvisningarna i avsnittet nedan för att hitta eller skapa autentiseringsuppgifter för en viss datakälla. (Du kan också välja Hitta länken för dina autentiseringsuppgifter på sidan Widgets Onboarding för en viss datakälla, som omdirigerar dig till samma instruktioner nedan.) När du har autentiseringsuppgifterna kopierar du dem åt sidan och fortsätter till nästa steg.

  2. Välj Lägg till autentiseringsuppgifter för datakällan. Guiden Anpassad distribution öppnas i en sidopanel till höger på sidan.

    Fälten Prenumeration, Resursgrupp, Region och Key Vault-namn är förifyllda och det bör inte finnas någon anledning för dig att redigera dem.

  3. Ange de autentiseringsuppgifter som du sparade i de relevanta fälten i guiden Anpassad distribution (API-nyckel, Användarnamn, Lösenord och så vidare).

  4. Välj Granska + skapa.

  5. Fliken Granska + skapa visar en sammanfattning av konfigurationen och eventuellt villkoren i avtalet.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Kommentar

    Innan du väljer Skapa för att godkänna villkoren och skapa hemligheten är det en bra idé att duplicera den aktuella webbläsarfliken och sedan välja Skapa på den nya fliken. Detta rekommenderas eftersom skapandet av hemligheten för tillfället tar dig utanför Microsoft Sentinel-kontexten och in i Key Vault-kontexten, utan någon direkt väg tillbaka. På så sätt finns den gamla fliken kvar på sidan Registrering av widgetar och den nya fliken för att hantera dina nyckelvalvshemligheter.

    Välj Skapa för att godkänna villkoren och skapa hemligheten.

  6. En ny sida visas för din nya hemlighet med ett meddelande om att distributionen är klar.

    Screenshot of completed secret deployment.

    Gå tillbaka till sidan För registrering av widgetar (på den ursprungliga webbläsarfliken).

    (Om du inte duplicerade webbläsarfliken enligt anvisningarna i anteckningen ovan öppnar du en ny webbläsarflik och återgår till registreringssidan för widgetar.)

  7. Kontrollera att den nya hemligheten har lagts till i nyckelvalvet:

    1. Öppna nyckelvalvet som är dedikerat för dina widgetar.
    2. Välj Hemligheter på navigeringsmenyn för nyckelvalvet.
    3. Se till att widgetkällans hemlighet har lagts till i listan.

Hitta dina autentiseringsuppgifter för varje widgetkälla

Det här avsnittet innehåller instruktioner för att skapa eller hitta dina autentiseringsuppgifter för var och en av widgetarnas datakällor.

Kommentar

Alla widgetdatakällor kräver inte autentiseringsuppgifter för att Microsoft Sentinel ska kunna komma åt dem.

Autentiseringsuppgifter för totalt virus

  1. Ange API-nyckeln som definierats i ditt virus totalt konto. Du kan registrera dig för ett kostnadsfritt Virus Total-konto för att hämta en API-nyckel.

  2. När du har valt Skapa och distribuera mallen enligt beskrivningen i punkt 6 i steg 2 ovan läggs en hemlighet med namnet "Totalt virus" till i nyckelvalvet.

Autentiseringsuppgifter för AbuseIPDB

  1. Ange API-nyckeln som definierats i ditt AbuseIPDB-konto. Du kan registrera dig för ett kostnadsfritt AbuseIPDB-konto för att hämta en API-nyckel.

  2. När du har valt Skapa och distribuera mallen enligt beskrivningen i punkt 6 i steg 2 ovan läggs en hemlighet med namnet "AbuseIPDB" till i ditt nyckelvalv.

Autentiseringsuppgifter för avvikelser

  1. Ange användarnamnet och API-nyckeln som definierats i ditt Anomali-konto.

  2. När du har valt Skapa och distribuera mallen enligt beskrivningen i punkt 6 i steg 2 ovan läggs en hemlighet med namnet "Anomali" till i ditt nyckelvalv.

Autentiseringsuppgifter för inspelad framtid

  1. Ange din nyckel för inspelat framtida API. Kontakta din representant för den registrerade framtiden för att hämta din API-nyckel. Du kan också ansöka om en kostnadsfri utvärderingsversion på 30 dagar, särskilt för Sentinel-användare.

  2. När du har valt Skapa och distribuera mallen enligt beskrivningen i punkt 6 i steg 2 ovan läggs en hemlighet med namnet "Inspelad framtid" till i ditt nyckelvalv.

Autentiseringsuppgifter för Microsoft Defender Hotinformation

  1. Widgeten Microsoft Defender Hotinformation ska hämta data automatiskt om du har relevant licens för Microsoft Defender Hotinformation. Det finns inget behov av autentiseringsuppgifter.

  2. Om du inte har rätt licens kontaktar du Microsoft Security-teamet för vägledning.

Lägga till nya widgetar när de blir tillgängliga

Microsoft Sentinel strävar efter att erbjuda en bred samling widgetar, vilket gör dem tillgängliga när de är klara. När nya widgetar blir tillgängliga läggs deras datakällor till i listan på sidan För registrering av widgetar, om de inte redan finns där. När du ser meddelanden om nyligen tillgängliga widgetar kan du gå tillbaka till sidan Registrering av widgetar för nya datakällor som ännu inte har konfigurerat autentiseringsuppgifter. Om du vill konfigurera dem följer du steg 2 ovan.

Ta bort widgets-upplevelsen

Om du vill ta bort widgetupplevelsen från Microsoft Sentinel tar du helt enkelt bort nyckelvalvet som du skapade i steg 1 ovan.

Felsökning

Fel i widgetkonfiguration

Om du ser ett felmeddelande om widgetkonfigurationen i någon av dina widgetar, till exempel på följande skärmbild, kontrollerar du att du har följt konfigurationsanvisningarna ovan och de specifika instruktionerna för widgeten.

Screenshot of widget configuration error message.

Det gick inte att skapa Key Vault

Om du får ett felmeddelande när du skapar Key Vault kan det finnas flera orsaker:

  • Du har inte rollen Deltagare i resursgruppen.

  • Din prenumeration är inte registrerad på Key Vault-resursprovidern.

Det gick inte att distribuera hemligheter till ditt Key Vault

Om du får ett felmeddelande när du distribuerar en hemlighet för din widgetdatakälla kontrollerar du följande:

  • Kontrollera att du har angett källautentiseringsuppgifterna korrekt.

  • Den angivna ARM-mallen kan ha ändrats.

Nästa steg

I den här artikeln har du lärt dig hur du aktiverar widgetar för datavisualisering på entitetssidor. Mer information om entitetssidor och andra platser där entitetsinformation visas: