Compartir a través de

Silverfort

  • Artículo

El complemento Silverfort para Microsoft Security Copilot permite la integración sin problemas de los datos cef avanzados de Silverfort en el entorno de Microsoft Sentinel para incorporar información sobre la protección de identidades. Este complemento permite a los equipos de seguridad mejorar sus capacidades de detección y respuesta de amenazas a través de consultas intuitivas de lenguaje natural e información detallada.

El complemento Silverfort aprovecha las consultas basadas en KQL para extraer y analizar datos de los registros de seguridad de Silverfort dentro del área de trabajo de Microsoft Sentinel. Los usuarios pueden personalizar sus consultas mediante una variedad de parámetros de entrada para recuperar información de destino, lo que permite una investigación de amenazas más eficaz y medidas de defensa proactivas.

Nota:

Este artículo contiene información sobre complementos de terceros. Esto se proporciona para ayudar a completar escenarios de integración. Sin embargo, Microsoft no proporciona compatibilidad para la solución de problemas de complementos de terceros. Póngase en contacto con el proveedor de terceros para obtener soporte técnico.

Requisitos previos

Para usar el complemento Silverfort, primero debe configurar el reenvío de Common Event Format (CEF) y Syslog a través del Agente de Azure Monitor (AMA) mediante la siguiente guía. Este complemento consulta los datos almacenados en la tabla CommonSecurityLog en un área de trabajo de Log Analytics habilitada para Microsoft Sentinel. Para obtener más información, consulte Ingesta de mensajes syslog y CEF para Microsoft Sentinel con el agente de Azure Monitor.

Después de configurar un reenviador, continúe con lo siguiente:

  • Asignación de una dirección IP pública
  • Permitir el tráfico entrante de Syslog en el puerto 514 en la configuración de red

Ya está listo para configurar el servidor de Syslog en Silverfort para enviar los eventos y hacer que la AMA recién configurada reenvíe la información a Microsoft Sentinel.

  1. Escriba la dirección IP del reenviador ama en el campo Dirección IP del servidor.

  2. Escriba el puerto 514 en el campo Puerto.

  3. Seleccione Protocolo TCP en el campo Protocolo.

    Captura de pantalla del servidor syslog en Silverfort.

  4. Compruebe que toda la información de los campos está presente excepto la aplicación Splunk.

  5. Seleccione Guardar todo.

Saber antes de empezar

Tendrá que realizar los pasos siguientes antes de usar el complemento.

  1. Inicie sesión en Microsoft Security Copilot.

  2. Para acceder a Administrar complementos, seleccione el botón Complemento en la barra de indicaciones.

  3. Junto a Silverfort, seleccione el botón de alternancia para habilitarlo.

    Proporcione la siguiente información de envío:

    • TenantId: identificador de la organización de Microsoft Entra ID en la que se encuentra el área de trabajo de Microsoft Sentinel.
    • WorkspaceName: nombre del área de trabajo de Microsoft Sentinel.
    • SubscriptionId: el identificador de la suscripción de Azure en la que se encuentra el área de trabajo de Microsoft Sentinel.
    • ResourceGroupName: nombre del grupo de recursos en el que se encuentra el área de trabajo Microsoft Sentinel.

  4. Guarde los cambios.

Solicitudes de Silverfort de ejemplo

Una vez configurado el complemento Silverfort, puede usarlo siguiendo uno de los pasos siguientes:

  • Para acceder a las funcionalidades del complemento, seleccione el botón Complemento en la barra de mensajes y seleccione Silverfort.
  • Solicite Security Copilot mediante cualquiera de las siguientes solicitudes de ejemplo.

En la tabla siguiente se enumeran los mensajes de ejemplo que se van a intentar:

Funcionalidad Ejemplos de solicitudes
QuerySilverfortInformation
Consulta información relacionada con los datos cef dentro de Microsoft Sentinel en función del tiempo, el riesgo, el indicador, la dirección IP de origen, el nombre de host de origen y otros.		 Provide a count of Silverfort risk requests that have the Silverfort policy name 'mypolicy' in the last week.

How many Silverfort MFA subtype requests have there been in the last week that have an MFA response of 'Blocked'?

How many requests in the last week have a Silverfort policy action of 'MFA'?

Give me the top 10 Silverfort requests with Criticalrisk where the source username is "john.doe@something.com".
QuerySilverfortIncidents
Consultas para todos los incidentes relacionados con Silverfort dentro del período de tiempo especificado		 Give me all Silverfort incidents in the last month.

Give me all Silverfort incidents in the last week with status ongoing.

Solución de problemas del complemento Silverfort

Se producen errores

Si encuentra errores, como No se pudo completar la solicitud, o Se produjo un error desconocido | Asegúrese de que el complemento está activado. Este error puede producirse si el período de reversión es demasiado largo, lo que hace que la consulta intente recuperar una cantidad excesiva de datos. Si el problema persiste, cierre la sesión de Security Copilot y vuelva a iniciar sesión.

Consultas no invocan las funcionalidades correctas

Si los mensajes no invocan las capacidades correctas o los avisos invocan algún otro conjunto de funcionalidades, es posible que tenga complementos personalizados u otros complementos que tengan una funcionalidad similar a la del conjunto de funcionalidades que desea usar.

Enviar comentarios

Para proporcionar comentarios, póngase en contacto con Silverfort.

Recursos adicionales

Complementos que no son de Microsoft para Microsoft Security Copilot

Administración de complementos en Microsoft Security Copilot