Aracılığıyla paylaş

Microsoft Sentinel'de zenginleştirme pencere öğelerini etkinleştirme

  • Makale

Zenginleştirme pencere öğeleri, varlıklar hakkında ayrıntılı ve eyleme dönüştürülebilir zeka sağlayan dinamik bileşenlerdir. Çeşitli kaynaklardan gelen dış ve iç içerik ile verileri tümleştirerek olası güvenlik tehditlerini daha iyi anlamanıza olanak sağlar.

Bu makalede, zenginleştirme pencere öğeleri deneyimini nasıl etkinleştirip bu yeni özelliklerden yararlanmanıza ve daha iyi ve daha hızlı kararlar almanıza nasıl yardımcı olduğunuz gösterilmektedir.

Önemli

Zenginleştirme pencere öğeleri şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Zenginleştirme pencere öğelerini etkinleştirme

Pencere öğeleri, veri kaynaklarına erişmek ve bağlantı sağlamak için kimlik bilgilerinin kullanılmasını gerektirir. Bu kimlik bilgileri API anahtarları, kullanıcı adı/parola veya diğer gizli diziler biçiminde olabilir ve bu amaçla oluşturduğunuz ayrılmış bir Azure Key Vault'ta depolanır.

Bu Key Vault'u ortamınızda oluşturmak için çalışma alanının kaynak grubu için Katkıda Bulunan rolüne sahip olmanız gerekir.

Microsoft Sentinel, zenginleştirme pencere öğeleri için Key Vault oluşturma işlemini otomatikleştirmiştir. Pencere öğeleri deneyimini etkinleştirmek için aşağıdaki iki adımı uygulayın:

1. Adım: Kimlik bilgilerini depolamak için ayrılmış bir Key Vault oluşturma

  1. Microsoft Sentinel gezinti menüsünde Varlık davranışı'nı seçin.

  2. Varlık davranışı sayfasında, araç çubuğundan Zenginleştirme pencere öğeleri (önizleme) öğesini seçin.

    Screenshot of the entity behavior page.

  3. Pencere Öğeleri Ekleme Sayfasında Anahtar Kasası Oluştur'u seçin.

    Screenshot of widget onboarding page instructions to create a key vault.

    Key Vault dağıtımı devam ederken ve tamamlandığında bir Azure portalı bildirimi görürsünüz.

    Bu noktada, Key Vault Oluştur düğmesinin artık gri olduğunu ve yanında yeni anahtar kasanızın adının bağlantı olarak göründüğünü de göreceksiniz. Bağlantıyı seçerek anahtar kasasının sayfasına erişebilirsiniz.

    Ayrıca, 2. Adım - Daha önce gri renkte olan Kimlik bilgileri ekleme etiketli bölüm kullanıma sunulmuştur.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

2. Adım: Pencere öğelerinizin Key Vault'larına ilgili kimlik bilgilerini ekleme

Kullanılabilir tüm pencere öğeleri tarafından erişilen veri kaynakları, Pencere Öğeleri Ekleme Sayfasında, 2. Adım - Kimlik bilgileri ekleme altında listelenir. Her veri kaynağının kimlik bilgilerini birer birer eklemeniz gerekir. Bunu yapmak için her veri kaynağı için aşağıdaki adımları uygulayın:

  1. Belirli bir veri kaynağı için kimlik bilgilerini bulmak veya oluşturmak için aşağıdaki bölümdeki yönergelere bakın. (Alternatif olarak, Belirli bir veri kaynağının Pencere Öğeleri Ekleme Sayfasında kimlik bilgilerinizi bulun ve bu bağlantı sizi aşağıdaki yönergelere yönlendirir.) Kimlik bilgilerine sahip olduğunuzda, bunları bir kenara kopyalayın ve sonraki adıma geçin.

  2. Bu veri kaynağı için kimlik bilgileri ekle'yi seçin. Özel dağıtım sihirbazı, sayfanın sağ tarafındaki bir yan panelde açılır.

    Abonelik, Kaynak grubu, Bölge ve Key Vault ad alanlarının tümü önceden doldurulur ve bunları düzenlemeniz için hiçbir neden olmamalıdır.

  3. Özel dağıtım sihirbazında (API anahtarı, Kullanıcı Adı, Parola vb.) ilgili alanlara kaydettiğiniz kimlik bilgilerini girin.

  4. Gözden geçir ve oluştur’u seçin.

  5. Gözden Geçir + oluştur sekmesi yapılandırmanın bir özetini ve büyük olasılıkla sözleşmenin koşullarını gösterir.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Not

    Koşulları onaylamak ve gizli diziyi oluşturmak için Oluştur'u seçmeden önce geçerli tarayıcı sekmesini çoğaltmak ve ardından yeni sekmede Oluştur'u seçmek iyi bir fikirdir. Bu önerilir çünkü gizli dizi oluşturma işlemi şimdilik sizi Microsoft Sentinel bağlamının dışına ve Key Vault bağlamının dışına götürür ve doğrudan geri dönmez. Bu şekilde, eski sekme Pencere Öğeleri Ekleme Sayfasında kalır ve anahtar kasası gizli dizilerinizi yönetmek için yeni sekme kalır.

    Koşulları onaylamak ve gizli diziyi oluşturmak için Oluştur'u seçin.

  6. Yeni gizli diziniz için dağıtımın tamamlandığını belirten bir ileti içeren yeni bir sayfa görüntülenir.

    Screenshot of completed secret deployment.

    Pencere Öğeleri Ekleme Sayfasına geri dönün (özgün tarayıcı sekmenizde).

    (Yukarıdaki Not'ta belirtildiği gibi tarayıcı sekmesini çoğaltmadıysanız, yeni bir tarayıcı sekmesi açın ve pencere öğeleri ekleme sayfasına dönün.)

  7. Yeni gizli dizinizin anahtar kasasına eklendiğini doğrulayın:

    1. Pencere öğeleriniz için ayrılmış anahtar kasasını açın.
    2. Anahtar kasası gezinti menüsünde Gizli Diziler'i seçin.
    3. Pencere öğesi kaynağının gizli dizisinin listeye eklendiğini görün.

Her pencere öğesi kaynağı için kimlik bilgilerinizi bulma

Bu bölüm, pencere öğelerinizin veri kaynaklarının her biri için kimlik bilgilerinizi oluşturmaya veya bulmaya yönelik yönergeler içerir.

Not

Tüm pencere öğesi veri kaynaklarına erişmek için Microsoft Sentinel için kimlik bilgileri gerekmez.

Virüs Toplamı için Kimlik Bilgileri

  1. Virüs Toplamı hesabınızda tanımlanan API anahtarını girin. Bir API anahtarı almak için ücretsiz bir Virüs Toplam hesabına kaydolabilirsiniz.

  2. Yukarıdaki 2. Adımın 6. paragrafında açıklandığı gibi şablonu oluştur ve dağıt'ı seçtikten sonra anahtar kasanıza "Virüs Toplamı" adlı bir gizli dizi eklenir.

AbuseIPDB kimlik bilgileri

  1. AbuseIPDB hesabınızda tanımlanan API anahtarını girin. API anahtarı almak için ücretsiz bir AbuseIPDB hesabına kaydolabilirsiniz.

  2. Yukarıdaki 2. Adımın 6. paragrafında açıklandığı gibi şablonu oluştur ve dağıt'ı seçtikten sonra anahtar kasanıza "AbuseIPDB" adlı bir gizli dizi eklenir.

Anomali kimlik bilgileri

  1. Anomali hesabınızda tanımlanan kullanıcı adını ve API anahtarını girin.

  2. Yukarıdaki 2. Adımın 6. paragrafında açıklandığı gibi şablonu oluştur ve dağıt'ı seçtikten sonra anahtar kasanıza "Anomali" adlı bir gizli dizi eklenir.

Kayıtlı Gelecek için Kimlik Bilgileri

  1. Kayıtlı Gelecek API anahtarınızı girin. API anahtarınızı almak için Kayıtlı Gelecek temsilcinize başvurun. Ayrıca , özellikle Sentinel kullanıcıları için 30 günlük ücretsiz deneme için de başvurabilirsiniz.

  2. Yukarıdaki 2. Adımın 6. paragrafında açıklandığı gibi şablonu oluştur ve dağıt'ı seçtikten sonra anahtar kasanıza "Kayıtlı Gelecek" adlı bir gizli dizi eklenir.

Microsoft Defender Tehdit Analizi için kimlik bilgileri

  1. İlgili Microsoft Defender Tehdit Analizi lisansına sahipseniz Microsoft Defender Tehdit Analizi pencere öğesi verileri otomatik olarak getirmelidir. Kimlik bilgilerine gerek yoktur.

  2. Uygun lisansa sahip değilseniz, rehberlik için Microsoft Güvenlik ekibine başvurun.

Kullanılabilir olduklarında yeni pencere öğeleri ekleme

Microsoft Sentinel, geniş bir pencere öğesi koleksiyonu sunmayı hedefleyerek hazır olduklarında kullanılabilir olmalarını sağlar. Yeni pencere öğeleri kullanıma sunulduktan sonra veri kaynakları, henüz orada değilse Pencere Öğeleri Ekleme Sayfası'nda listeye eklenir. Yeni kullanılabilir pencere öğelerinin duyurularını gördüğünüzde, henüz kimlik bilgileri yapılandırılmamış yeni veri kaynakları için Pencere Öğeleri Ekleme Sayfasına yeniden bakın. Bunları yapılandırmak için yukarıdaki 2. adımı izleyin.

Pencere öğeleri deneyimini kaldırma

Pencere öğeleri deneyimini Microsoft Sentinel'den kaldırmak için yukarıdaki 1. adımda oluşturduğunuz Key Vault'u silmeniz yeterlidir.

Sorun giderme

Pencere öğesi yapılandırmasındaki hatalar

Pencere öğelerinizden birinde, örneğin aşağıdaki ekran görüntüsünde gösterildiği gibi pencere öğesi yapılandırmasıyla ilgili bir hata iletisi görüyorsanız yukarıdaki yapılandırma yönergelerini ve pencere öğenizin belirli yönergelerini izlediğinizi denetleyin.

Screenshot of widget configuration error message.

Key Vault oluşturulamaması

Key Vault'ı oluştururken bir hata iletisi alırsanız, bunun birden çok nedeni olabilir:

  • Kaynak grubunuzda Katkıda Bulunan rolüne sahip değilsiniz.

  • Aboneliğiniz Key Vault kaynak sağlayıcısına kayıtlı değil.

Gizli dizileri Key Vault'unuza dağıtma hatası

Pencere öğesi veri kaynağınız için gizli dizi dağıtırken bir hata iletisi alırsanız aşağıdakileri denetleyin:

  • Kaynak kimlik bilgilerini doğru girdiğinizi denetleyin.

  • Sağlanan ARM şablonu değişmiş olabilir.

Sonraki adımlar

Bu makalede varlık sayfalarında veri görselleştirmesi için pencere öğelerini etkinleştirmeyi öğrendiniz. Varlık sayfaları ve varlık bilgilerinin görüntülendiği diğer yerler hakkında daha fazla bilgi için: