你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Microsoft Sentinel 中启用扩充小组件
扩充小组件是动态组件,可提供有关实体的深入且可操作的智能。 它们集成了来自各种源的内外部内容和数据,便于更好地了解潜在的安全威胁。
本文介绍如何启用扩充小组件体验,使你能够利用这一新功能并帮助做出更好、更快的决策。
重要
扩充小组件当前处于预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
启用扩充小组件
小组件需要使用凭据才能访问和维护与其数据源的连接。 这些凭据可以采用 API 密钥、用户名/密码或其他机密的形式,它们存储在为此创建的专用 Azure Key Vault 中。
必须具有工作区资源组的参与者角色,才能在环境中创建此密钥保管库。
Microsoft Sentinel 已实现为扩充小组件创建密钥保管库的流程自动化。 若要启用小组件体验,请执行以下两个步骤:
步骤 1:创建专用密钥保管库来存储凭据
从 Microsoft Sentinel 导航菜单中选择“实体行为”。
在“实体行为”页上,从工具栏中选择“扩充小组件(预览版)”。
在“小组件载入页面”上,选择“创建密钥保管库”。
密钥保管库正在部署时,会看到 Azure 门户通知;完成部署时,会再次看到此通知。
此时,你还将看到“创建密钥保管库”按钮现在灰显,按钮旁边会将新密钥保管库的名称显示为链接。 可以通过选择链接来访问密钥保管库的页面。
此外,具有步骤 2 - 添加凭据标签的章节(之前灰显)现已可用。
步骤 2:将相关凭据添加到小组件的密钥保管库
在步骤 2 - 添加凭据下,所有可用小组件访问的数据源列在小组件载入页。 需要一次添加一个数据源的凭据。 要执行此操作,请为每个数据源执行以下步骤:
请参阅以下部分中的说明,查找或创建给定数据源的凭据。 (或者,可以选择给定数据源的“小组件载入页”上的“找到凭据”链接,这将重定向到下面的相同说明。)获取凭据后,请将其复制到一边,然后继续执行下一步。
选择为该数据源“添加凭据”。 自定义部署向导将在页面右侧的侧面板中打开。
“订阅”、“资源组”、“区域”和“密钥库名称”字段均已预先填充,因此不应有理由对其进行编辑。
在自定义部署向导(API 密钥、用户名、密码等)中输入保存到相关字段中的凭据。
选择“查看 + 创建”。
“查看 + 创建”选项卡将显示配置摘要,并可能显示协议条款。
注意
在选择“创建”以批准该条款并创建机密之前,最好复制当前浏览器选项卡,然后在新选项卡中选择“创建”。建议这样做,因为现在创建机密会将你带出 Microsoft Sentinel 上下文,并进入密钥保管库上下文,且没有直接的返回方式。 这样,你就会让旧选项卡保留在“小组件载入页”,以及用于管理密钥保管库机密的新选项卡上。
选择“创建”以批准条款并创建机密。
将为新机密显示一个新页面,并显示一条消息,指出部署已完成。
返回到“小组件载入页”(在原始浏览器选项卡中)。
(如果未按上述说明中的指示复制浏览器选项卡,请打开新的浏览器选项卡并返回到小组件载入页面。)
验证是否已向密钥保管库添加新的机密:
- 打开专用于小组件的密钥保管库。
- 从密钥保管库导航菜单中选择“机密”。
- 会看到小组件源的机密已添加到列表中。
查找每个小组件源的凭据
本节包含创建或查找每个小组件数据源的凭据的说明。
注意
并非所有小组件数据源都需要 Microsoft Sentinel 凭据才能访问它们。
Virus Total 凭据
输入在 Virus Total 帐户中定义的“API 密钥”。 可以注册免费的 Virus Total 帐户以获取 API 密钥。
选择“创建”并部署模板,如上述步骤 2 第 6 段中所述,名为“Virus Total”的机密将添加到密钥保管库中。
AbuseIPDB 凭据
输入在 AbuseIPDB 帐户中定义的“API 密钥”。 可以注册免费的 AbuseIPDB 帐户以获取 API 密钥。
选择“创建”并部署模板,如上述步骤 2 第 6 段中所述,名为“AbuseIPDB”的机密将添加到密钥保管库中。
Anomali 凭据
输入在 AbuseIPDB 帐户中定义的“用户名”和“API 密钥”。
选择“创建”并部署模板,如上述步骤 2 第 6 段中所述,名为“Anomali”的机密将添加到密钥保管库中。
Recorded Future 凭据
输入 Recorded Future“API 密钥”。 请联系 Recorded Future 代表获取 API 密钥。 还可以申请 30 天免费试用版,尤其是 Sentinel 用户。
选择“创建”并部署模板,如上述步骤 2 第 6 段中所述,名为“Recorded Future”的机密将添加到密钥保管库中。
Microsoft Defender 威胁情报凭据
如果拥有相关的Microsoft Defender 威胁智能许可证,Microsoft Defender 威胁智能小组件应自动提取数据。 无需使用凭据。
如果没有适当的许可证, 请联系 Microsoft 安全团队 获取指导。
添加新小组件(当小组件可用时)
Microsoft Sentinel 渴望提供大量的小组件,使其在准备就绪时可用。 当新小组件可用时,其数据源将添加到“小组件载入页”上的列表(如果它们尚不存在)。 看到刚可用的小组件的通知时,请重新查看“小组件载入页”,了解尚未配置凭据的新数据源。 若要配置它们,请遵循上述步骤 2。
移除小组件体验
若要从 Microsoft Sentinel 中移除小组件体验,只需删除上述步骤 1 中创建的密钥保管库。
疑难解答
小组件配置中出错
如果在一个小组件中看到有关小组件配置的错误消息,例如,如以下屏幕截图所示,请检查你是否遵循了上述配置说明以及小组件的特定说明。
创建密钥保管库失败
如果在创建密钥保管库时收到错误消息,原因可能有多种:
资源组上没有参与者角色。
你的订阅未注册到密钥保管库资源提供程序。
未能将机密部署到密钥保管库
如果在为小组件数据源部署机密时收到错误消息,请检查以下内容:
检查是否已正确输入源凭据。
提供的 ARM 模板可能已更改。
后续步骤
本文介绍了如何为实体页上的数据可视化启用小组件。 有关实体页和显示实体信息的其他位置的详细信息: