你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Microsoft Sentinel 中启用扩充小组件

  • 项目

扩充小组件是动态组件,可提供有关实体的深入且可操作的智能。 它们集成了来自各种源的内外部内容和数据,便于更好地了解潜在的安全威胁。

本文介绍如何启用扩充小组件体验,使你能够利用这一新功能并帮助做出更好、更快的决策。

重要

扩充小组件当前处于预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

启用扩充小组件

小组件需要使用凭据才能访问和维护与其数据源的连接。 这些凭据可以采用 API 密钥、用户名/密码或其他机密的形式,它们存储在为此创建的专用 Azure Key Vault 中。

必须具有工作区资源组的参与者角色,才能在环境中创建此密钥保管库。

Microsoft Sentinel 已实现为扩充小组件创建密钥保管库的流程自动化。 若要启用小组件体验,请执行以下两个步骤:

步骤 1:创建专用密钥保管库来存储凭据

  1. 从 Microsoft Sentinel 导航菜单中选择“实体行为”。

  2. 在“实体行为”页上,从工具栏中选择“扩充小组件(预览版)”。

    Screenshot of the entity behavior page.

  3. 在“小组件载入页面”上,选择“创建密钥保管库”。

    Screenshot of widget onboarding page instructions to create a key vault.

    密钥保管库正在部署时,会看到 Azure 门户通知;完成部署时,会再次看到此通知。

    此时,你还将看到“创建密钥保管库”按钮现在灰显,按钮旁边会将新密钥保管库的名称显示为链接。 可以通过选择链接来访问密钥保管库的页面。

    此外,具有步骤 2 - 添加凭据标签的章节(之前灰显)现已可用。

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

步骤 2:将相关凭据添加到小组件的密钥保管库

步骤 2 - 添加凭据下,所有可用小组件访问的数据源列在小组件载入页。 需要一次添加一个数据源的凭据。 要执行此操作,请为每个数据源执行以下步骤:

  1. 请参阅以下部分中的说明,查找或创建给定数据源的凭据。 (或者,可以选择给定数据源的“小组件载入页”上的“找到凭据”链接,这将重定向到下面的相同说明。)获取凭据后,请将其复制到一边,然后继续执行下一步。

  2. 选择为该数据源“添加凭据”。 自定义部署向导将在页面右侧的侧面板中打开。

    订阅”、“资源组”、“区域”和“密钥库名称”字段均已预先填充,因此不应有理由对其进行编辑。

  3. 自定义部署向导(API 密钥用户名密码等)中输入保存到相关字段中的凭据。

  4. 选择“查看 + 创建”。

  5. 查看 + 创建”选项卡将显示配置摘要,并可能显示协议条款。

    Screenshot of wizard to create a new set of credentials for your widget data source.

    注意

    在选择“创建”以批准该条款并创建机密之前,最好复制当前浏览器选项卡,然后在新选项卡中选择“创建”。建议这样做,因为现在创建机密会将你带出 Microsoft Sentinel 上下文,并进入密钥保管库上下文,且没有直接的返回方式。 这样,你就会让旧选项卡保留在“小组件载入页”,以及用于管理密钥保管库机密的新选项卡上。

    选择“创建”以批准条款并创建机密。

  6. 将为新机密显示一个新页面,并显示一条消息,指出部署已完成。

    Screenshot of completed secret deployment.

    返回到“小组件载入页”(在原始浏览器选项卡中)。

    (如果未按上述说明中的指示复制浏览器选项卡,请打开新的浏览器选项卡并返回到小组件载入页面。)

  7. 验证是否已向密钥保管库添加新的机密:

    1. 打开专用于小组件的密钥保管库。
    2. 从密钥保管库导航菜单中选择“机密”。
    3. 会看到小组件源的机密已添加到列表中。

查找每个小组件源的凭据

本节包含创建或查找每个小组件数据源的凭据的说明。

注意

并非所有小组件数据源都需要 Microsoft Sentinel 凭据才能访问它们。

Virus Total 凭据

  1. 输入在 Virus Total 帐户中定义的“API 密钥”。 可以注册免费的 Virus Total 帐户以获取 API 密钥。

  2. 选择“创建”并部署模板,如上述步骤 2 第 6 段中所述,名为“Virus Total”的机密将添加到密钥保管库中。

AbuseIPDB 凭据

  1. 输入在 AbuseIPDB 帐户中定义的“API 密钥”。 可以注册免费的 AbuseIPDB 帐户以获取 API 密钥。

  2. 选择“创建”并部署模板,如上述步骤 2 第 6 段中所述,名为“AbuseIPDB”的机密将添加到密钥保管库中。

Anomali 凭据

  1. 输入在 AbuseIPDB 帐户中定义的“用户名”和“API 密钥”。

  2. 选择“创建”并部署模板,如上述步骤 2 第 6 段中所述,名为“Anomali”的机密将添加到密钥保管库中。

Recorded Future 凭据

  1. 输入 Recorded Future“API 密钥”。 请联系 Recorded Future 代表获取 API 密钥。 还可以申请 30 天免费试用版,尤其是 Sentinel 用户

  2. 选择“创建”并部署模板,如上述步骤 2 第 6 段中所述,名为“Recorded Future”的机密将添加到密钥保管库中。

Microsoft Defender 威胁情报凭据

  1. 如果拥有相关的Microsoft Defender 威胁智能许可证,Microsoft Defender 威胁智能小组件应自动提取数据。 无需使用凭据。

  2. 如果没有适当的许可证, 请联系 Microsoft 安全团队 获取指导。

添加新小组件(当小组件可用时)

Microsoft Sentinel 渴望提供大量的小组件,使其在准备就绪时可用。 当新小组件可用时,其数据源将添加到“小组件载入页”上的列表(如果它们尚不存在)。 看到刚可用的小组件的通知时,请重新查看“小组件载入页”,了解尚未配置凭据的新数据源。 若要配置它们,请遵循上述步骤 2

移除小组件体验

若要从 Microsoft Sentinel 中移除小组件体验,只需删除上述步骤 1 中创建的密钥保管库。

疑难解答

小组件配置中出错

如果在一个小组件中看到有关小组件配置的错误消息,例如,如以下屏幕截图所示,请检查你是否遵循了上述配置说明以及小组件的特定说明

Screenshot of widget configuration error message.

创建密钥保管库失败

如果在创建密钥保管库时收到错误消息,原因可能有多种:

  • 资源组上没有参与者角色。

  • 你的订阅未注册到密钥保管库资源提供程序。

未能将机密部署到密钥保管库

如果在为小组件数据源部署机密时收到错误消息,请检查以下内容:

  • 检查是否已正确输入源凭据。

  • 提供的 ARM 模板可能已更改。

后续步骤

本文介绍了如何为实体页上的数据可视化启用小组件。 有关实体页和显示实体信息的其他位置的详细信息: