Включение мини-приложений обогащения в Microsoft Sentinel
Мини-приложения обогащения — это динамические компоненты, которые предоставляют подробные аналитические данные о сущностях. Они интегрируют внешнее и внутреннее содержимое и данные из различных источников, что позволяет лучше понять потенциальные угрозы безопасности.
В этой статье показано, как включить возможности мини-приложений обогащения, что позволит вам воспользоваться этой новой возможностью и помочь вам принимать более быстрые решения.
Важно!
Мини-приложения обогащения в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Включение мини-приложений обогащения
Мини-приложения требуют использования учетных данных для доступа к источникам данных и поддержания их подключений. Эти учетные данные могут находиться в виде ключей API, имени пользователя или пароля или других секретов, и они хранятся в выделенном хранилище ключей Azure, создаваемом для этой цели.
Необходимо иметь роль участника для группы ресурсов рабочей области, чтобы создать это Хранилище ключей в вашей среде.
Microsoft Sentinel автоматически создает хранилище ключей для мини-приложений обогащения. Чтобы включить интерфейс мини-приложений, сделайте следующее:
Шаг 1. Создание выделенного хранилища ключей для хранения учетных данных
В меню навигации Microsoft Sentinel выберите Поведение сущностей.
На странице поведения сущности выберите мини-приложения обогащения (предварительная версия) на панели инструментов.
На странице "Подключение мини-приложений" выберите "Создать Key Vault".
После завершения развертывания Key Vault появится уведомление портал Azure.
На этом этапе вы увидите, что кнопка "Создать key Vault " теперь неактивна, а рядом с ней появится имя нового хранилища ключей. Вы можете получить доступ к странице хранилища ключей, выбрав ссылку.
Кроме того, раздел с меткой Шаг 2. Добавление учетных данных, ранее неактивных, теперь доступно.
Шаг 2. Добавление соответствующих учетных данных в Хранилище ключей мини-приложений
Источники данных, к которым обращаются все доступные мини-приложения, перечислены на странице подключения мини-приложений в разделе шаг 2. Добавление учетных данных. Необходимо добавить учетные данные каждого источника данных по одному за раз. Для этого выполните следующие действия для каждого источника данных:
Инструкции в разделе ниже по поиску или созданию учетных данных для данного источника данных. (Кроме того, можно выбрать Найдите ссылку учетных данных на странице подключения мини-приложений для заданного источника данных, который перенаправит вас в те же инструкции ниже.) Когда у вас есть учетные данные, скопируйте их в сторону и перейдите к следующему шагу.
Выберите " Добавить учетные данные" для этого источника данных. Мастер пользовательского развертывания откроется на боковой панели справа от страницы.
Поля имен подписки, группы ресурсов, региона и хранилища ключей предварительно заполнены, и не должно быть причин их редактирования.
Введите учетные данные, сохраненные в соответствующие поля в мастере пользовательского развертывания (ключ API, имя пользователя, пароль и т. д.).
Выберите Review + create (Просмотреть и создать).
Вкладка "Просмотр и создание " содержит сводку по конфигурации и, возможно, условия соглашения.
Примечание.
Прежде чем выбрать "Создать" , чтобы утвердить условия и создать секрет, рекомендуется дублировать текущую вкладку браузера, а затем выбрать " Создать " на новой вкладке. Это рекомендуется, так как сейчас создание секрета приведет вас за пределы контекста Microsoft Sentinel и в контекст Key Vault без прямого возврата. Таким образом, на странице "Подключение мини-приложений" останется старая вкладка, а новая вкладка для управления секретами хранилища ключей.
Выберите " Создать" , чтобы утвердить условия и создать секрет.
Откроется новая страница для нового секрета с сообщением о завершении развертывания.
Вернитесь на страницу подключения мини-приложений (на исходной вкладке браузера).
(Если вы не дублируете вкладку браузера, как описано выше, откройте новую вкладку браузера и вернитесь на страницу подключения мини-приложений.)
Убедитесь, что в хранилище ключей добавлен новый секрет:
- Откройте хранилище ключей, выделенное для мини-приложений.
- Выберите секреты из меню навигации хранилища ключей.
- Узнайте, что секрет источника мини-приложения добавлен в список.
Поиск учетных данных для каждого источника мини-приложения
В этом разделе содержатся инструкции по созданию или поиску учетных данных для каждого из источников данных мини-приложений.
Примечание.
Не все источники данных мини-приложения требуют учетных данных для Microsoft Sentinel для доступа к ним.
Учетные данные для общего числа вирусов
Введите ключ API, определенный в учетной записи "Итог вируса". Вы можете зарегистрироваться для получения ключа API бесплатной учетной записи Total вирусов.
После нажатия кнопки "Создать " и развернуть шаблон, как описано в абзаце 6 шага 2 выше, в хранилище ключей будет добавлен секрет с именем "Итог вируса".
Учетные данные для AbuseIPDB
Введите ключ API, определенный в учетной записи AbuseIPDB. Вы можете зарегистрироваться для получения ключа API бесплатной учетной записи AbuseIPDB.
После нажатия кнопки "Создать " и развернуть шаблон, как описано в абзаце 6 шага 2 выше, в хранилище ключей будет добавлен секрет с именем "AbuseIPDB".
Учетные данные для Anomali
Введите имя пользователя и ключ API, определенные в учетной записи Anomali.
После нажатия кнопки "Создать " и развернуть шаблон, как описано в абзаце 6 шага 2 выше, в хранилище ключей будет добавлен секрет с именем Anomali.
Учетные данные для записанного будущего
Введите ключ API записываемого будущего. Чтобы получить ключ API, обратитесь к представителю recorded Future. Вы также можете подать заявку на 30-дневную бесплатную пробную версию, особенно для пользователей Sentinel.
После нажатия кнопки "Создать " и развернуть шаблон, как описано в абзаце 6 шага 2 выше, в хранилище ключей будет добавлен секрет с именем "Записанное будущее".
Учетные данные для Аналитика угроз Microsoft Defender
Мини-приложение Аналитика угроз Microsoft Defender должно автоматически получить данные, если у вас есть соответствующая лицензия Аналитика угроз Microsoft Defender. Учетные данные не требуются.
Если у вас нет соответствующей лицензии, обратитесь в группу безопасности Майкрософт для получения рекомендаций.
Добавление новых мини-приложений при их доступности
Microsoft Sentinel стремится предложить широкий набор мини-приложений, что делает их доступными по мере их готовности. По мере того как новые мини-приложения становятся доступными, их источники данных будут добавлены в список на странице подключения мини-приложений, если они еще нет. Когда отображаются объявления о новых доступных мини-приложениях, проверка обратно на странице подключения мини-приложений для новых источников данных, которые еще не настроены. Чтобы настроить их, выполните шаг 2 выше.
Удаление интерфейса мини-приложений
Чтобы удалить интерфейс мини-приложений из Microsoft Sentinel, просто удалите хранилище ключей, созданное на шаге 1 выше.
Устранение неполадок
Ошибки в конфигурации мини-приложения
Если в одном из мини-приложений отображается сообщение об ошибке о конфигурации мини-приложения, например на следующем снимке экрана, проверка, которые вы выполнили приведенные выше инструкции по настройке и конкретные инструкции для мини-приложения.
Сбой создания Key Vault
Если при создании Key Vault появится сообщение об ошибке, может возникнуть несколько причин:
У вас нет роли участника в группе ресурсов.
Подписка не зарегистрирована в поставщике ресурсов Key Vault.
Сбой при развертывании секретов в Key Vault
Если при развертывании секрета для источника данных мини-приложения появится сообщение об ошибке, проверка следующее:
Убедитесь, что вы правильно ввели исходные учетные данные.
Указанный шаблон ARM может измениться.
Следующие шаги
Из этой статьи вы узнали, как включить мини-приложения для визуализации данных на страницах сущностей. Дополнительные сведения о страницах сущностей и других местах, где отображаются сведения о сущностях: