Share via

Включение мини-приложений обогащения в Microsoft Sentinel

  • Статья

Мини-приложения обогащения — это динамические компоненты, которые предоставляют подробные аналитические данные о сущностях. Они интегрируют внешнее и внутреннее содержимое и данные из различных источников, что позволяет лучше понять потенциальные угрозы безопасности.

В этой статье показано, как включить возможности мини-приложений обогащения, что позволит вам воспользоваться этой новой возможностью и помочь вам принимать более быстрые решения.

Важно!

Мини-приложения обогащения в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Включение мини-приложений обогащения

Мини-приложения требуют использования учетных данных для доступа к источникам данных и поддержания их подключений. Эти учетные данные могут находиться в виде ключей API, имени пользователя или пароля или других секретов, и они хранятся в выделенном хранилище ключей Azure, создаваемом для этой цели.

Необходимо иметь роль участника для группы ресурсов рабочей области, чтобы создать это Хранилище ключей в вашей среде.

Microsoft Sentinel автоматически создает хранилище ключей для мини-приложений обогащения. Чтобы включить интерфейс мини-приложений, сделайте следующее:

Шаг 1. Создание выделенного хранилища ключей для хранения учетных данных

  1. В меню навигации Microsoft Sentinel выберите Поведение сущностей.

  2. На странице поведения сущности выберите мини-приложения обогащения (предварительная версия) на панели инструментов.

    Screenshot of the entity behavior page.

  3. На странице "Подключение мини-приложений" выберите "Создать Key Vault".

    Screenshot of widget onboarding page instructions to create a key vault.

    После завершения развертывания Key Vault появится уведомление портал Azure.

    На этом этапе вы увидите, что кнопка "Создать key Vault " теперь неактивна, а рядом с ней появится имя нового хранилища ключей. Вы можете получить доступ к странице хранилища ключей, выбрав ссылку.

    Кроме того, раздел с меткой Шаг 2. Добавление учетных данных, ранее неактивных, теперь доступно.

    Screenshot of widget onboarding page instructions to add secrets to your key vault.

Шаг 2. Добавление соответствующих учетных данных в Хранилище ключей мини-приложений

Источники данных, к которым обращаются все доступные мини-приложения, перечислены на странице подключения мини-приложений в разделе шаг 2. Добавление учетных данных. Необходимо добавить учетные данные каждого источника данных по одному за раз. Для этого выполните следующие действия для каждого источника данных:

  1. Инструкции в разделе ниже по поиску или созданию учетных данных для данного источника данных. (Кроме того, можно выбрать Найдите ссылку учетных данных на странице подключения мини-приложений для заданного источника данных, который перенаправит вас в те же инструкции ниже.) Когда у вас есть учетные данные, скопируйте их в сторону и перейдите к следующему шагу.

  2. Выберите " Добавить учетные данные" для этого источника данных. Мастер пользовательского развертывания откроется на боковой панели справа от страницы.

    Поля имен подписки, группы ресурсов, региона и хранилища ключей предварительно заполнены, и не должно быть причин их редактирования.

  3. Введите учетные данные, сохраненные в соответствующие поля в мастере пользовательского развертывания (ключ API, имя пользователя, пароль и т. д.).

  4. Выберите Review + create (Просмотреть и создать).

  5. Вкладка "Просмотр и создание " содержит сводку по конфигурации и, возможно, условия соглашения.

    Screenshot of wizard to create a new set of credentials for your widget data source.

    Примечание.

    Прежде чем выбрать "Создать" , чтобы утвердить условия и создать секрет, рекомендуется дублировать текущую вкладку браузера, а затем выбрать " Создать " на новой вкладке. Это рекомендуется, так как сейчас создание секрета приведет вас за пределы контекста Microsoft Sentinel и в контекст Key Vault без прямого возврата. Таким образом, на странице "Подключение мини-приложений" останется старая вкладка, а новая вкладка для управления секретами хранилища ключей.

    Выберите " Создать" , чтобы утвердить условия и создать секрет.

  6. Откроется новая страница для нового секрета с сообщением о завершении развертывания.

    Screenshot of completed secret deployment.

    Вернитесь на страницу подключения мини-приложений (на исходной вкладке браузера).

    (Если вы не дублируете вкладку браузера, как описано выше, откройте новую вкладку браузера и вернитесь на страницу подключения мини-приложений.)

  7. Убедитесь, что в хранилище ключей добавлен новый секрет:

    1. Откройте хранилище ключей, выделенное для мини-приложений.
    2. Выберите секреты из меню навигации хранилища ключей.
    3. Узнайте, что секрет источника мини-приложения добавлен в список.

Поиск учетных данных для каждого источника мини-приложения

В этом разделе содержатся инструкции по созданию или поиску учетных данных для каждого из источников данных мини-приложений.

Примечание.

Не все источники данных мини-приложения требуют учетных данных для Microsoft Sentinel для доступа к ним.

Учетные данные для общего числа вирусов

  1. Введите ключ API, определенный в учетной записи "Итог вируса". Вы можете зарегистрироваться для получения ключа API бесплатной учетной записи Total вирусов.

  2. После нажатия кнопки "Создать " и развернуть шаблон, как описано в абзаце 6 шага 2 выше, в хранилище ключей будет добавлен секрет с именем "Итог вируса".

Учетные данные для AbuseIPDB

  1. Введите ключ API, определенный в учетной записи AbuseIPDB. Вы можете зарегистрироваться для получения ключа API бесплатной учетной записи AbuseIPDB.

  2. После нажатия кнопки "Создать " и развернуть шаблон, как описано в абзаце 6 шага 2 выше, в хранилище ключей будет добавлен секрет с именем "AbuseIPDB".

Учетные данные для Anomali

  1. Введите имя пользователя и ключ API, определенные в учетной записи Anomali.

  2. После нажатия кнопки "Создать " и развернуть шаблон, как описано в абзаце 6 шага 2 выше, в хранилище ключей будет добавлен секрет с именем Anomali.

Учетные данные для записанного будущего

  1. Введите ключ API записываемого будущего. Чтобы получить ключ API, обратитесь к представителю recorded Future. Вы также можете подать заявку на 30-дневную бесплатную пробную версию, особенно для пользователей Sentinel.

  2. После нажатия кнопки "Создать " и развернуть шаблон, как описано в абзаце 6 шага 2 выше, в хранилище ключей будет добавлен секрет с именем "Записанное будущее".

Учетные данные для Аналитика угроз Microsoft Defender

  1. Мини-приложение Аналитика угроз Microsoft Defender должно автоматически получить данные, если у вас есть соответствующая лицензия Аналитика угроз Microsoft Defender. Учетные данные не требуются.

  2. Если у вас нет соответствующей лицензии, обратитесь в группу безопасности Майкрософт для получения рекомендаций.

Добавление новых мини-приложений при их доступности

Microsoft Sentinel стремится предложить широкий набор мини-приложений, что делает их доступными по мере их готовности. По мере того как новые мини-приложения становятся доступными, их источники данных будут добавлены в список на странице подключения мини-приложений, если они еще нет. Когда отображаются объявления о новых доступных мини-приложениях, проверка обратно на странице подключения мини-приложений для новых источников данных, которые еще не настроены. Чтобы настроить их, выполните шаг 2 выше.

Удаление интерфейса мини-приложений

Чтобы удалить интерфейс мини-приложений из Microsoft Sentinel, просто удалите хранилище ключей, созданное на шаге 1 выше.

Устранение неполадок

Ошибки в конфигурации мини-приложения

Если в одном из мини-приложений отображается сообщение об ошибке о конфигурации мини-приложения, например на следующем снимке экрана, проверка, которые вы выполнили приведенные выше инструкции по настройке и конкретные инструкции для мини-приложения.

Screenshot of widget configuration error message.

Сбой создания Key Vault

Если при создании Key Vault появится сообщение об ошибке, может возникнуть несколько причин:

  • У вас нет роли участника в группе ресурсов.

  • Подписка не зарегистрирована в поставщике ресурсов Key Vault.

Сбой при развертывании секретов в Key Vault

Если при развертывании секрета для источника данных мини-приложения появится сообщение об ошибке, проверка следующее:

  • Убедитесь, что вы правильно ввели исходные учетные данные.

  • Указанный шаблон ARM может измениться.

Следующие шаги

Из этой статьи вы узнали, как включить мини-приложения для визуализации данных на страницах сущностей. Дополнительные сведения о страницах сущностей и других местах, где отображаются сведения о сущностях: