次の方法で共有

Silverfort

  • [アーティクル]

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

Microsoft Copilot for Security 用 Silverfort プラグインを使用すると、Microsoft Sentinel環境内で Silverfort の高度な CEF データをシームレスに統合して、ID 保護の分析情報を得ることができます。 このプラグインにより、セキュリティ チームは、直感的な自然言語クエリと詳細な分析情報を使用して、脅威の検出と対応機能を強化できます。

Silverfort プラグインは、KQL ベースのクエリを利用して、Microsoft Sentinel ワークスペース内の Silverfort のセキュリティ ログからデータを抽出および分析します。 ユーザーは、さまざまな入力パラメーターを使用してクエリをカスタマイズして、対象となる情報を取得し、より効率的な脅威調査とプロアクティブな防御対策を実現できます。

注:

この記事には、サード パーティ製プラグインに関する情報が含まれています。 これは、統合シナリオの完了に役立ちます。 ただし、Microsoft はサード パーティ製プラグインのトラブルシューティング サポートを提供していません。 サポートについては、サード パーティベンダーにお問い合わせください。

前提条件

Silverfort プラグインを使用するには、まず、次のガイドを使用して、Azure Monitor Agent (AMA) 転送を使用して Common Event Format (CEF) と Syslog を構成する必要があります。 このプラグインは、Microsoft Sentinelが有効になっている log Analytics ワークスペースの CommonSecurityLog テーブルに格納されているデータを照会します。 詳細については、「Syslog メッセージと CEF メッセージを取り込んで Azure Monitor エージェントとMicrosoft Sentinelする」を参照してください。

フォワーダーを設定したら、次の手順に進みます。

  • パブリック IP アドレスを割り当てる
  • ネットワーク設定でポート 514 で Syslog 受信トラフィックを許可する

これで、Silverfort で Syslog サーバーを設定してイベントを送信し、新しく構成された AMA に情報をMicrosoft Sentinelに転送する準備ができました。

  1. [サーバー IP] フィールドに、AMA フォワーダーの IP アドレスを入力します。

  2. [ポート] フィールドに「port 514」と入力します。

  3. [プロトコル] フィールドで [TCP プロトコル] を選択します。

    Silverfort の syslog サーバーのスクリーンショット。

  4. Splunk アプリケーションを除き、フィールド内のすべての情報が存在することを確認します。

  5. [ すべて保存] を選択します

はじめに

プラグインを使用する前に、次の手順を実行する必要があります。

  1. Microsoft Copilot for Security にサインインします。

  2. プロンプト バーから [プラグイン] ボタンを選択して、[プラグインの管理] にアクセスします。

  3. [Silverfort] の横にあるトグルを選択して有効にします。

    以下の情報を指定します。

    • TenantId: Microsoft Sentinel ワークスペースが存在するMicrosoft Entra ID組織の ID。
    • WorkspaceName: Microsoft Sentinel ワークスペースの名前。
    • SubscriptionId: Microsoft Sentinel ワークスペースが存在する Azure サブスクリプションの ID。
    • ResourceGroupName: Microsoft Sentinel ワークスペースが存在するリソース グループの名前。

  4. 変更内容を保存します。

Silverfort プロンプトのサンプル

Silverfort プラグインを構成したら、次のいずれかの手順を実行して使用できます。

  • プロンプト バーから [ プラグイン] ボタン を選択し、[ Silverfort] を選択して、プラグイン機能にアクセスします。
  • 次のいずれかの例のプロンプトを使用して、Copilot for Security をプロンプトします。

次の表に、試行するプロンプトの例を示します。

機能 プロンプトの例
QuerySilverfortInformation
時間、リスク、インジケーター、ソース IP、ソース ホスト名などに基づいて、Microsoft Sentinel内の CEF データに関連する情報を照会します。		 Provide a count of Silverfort risk requests that have the Silverfort policy name 'mypolicy' in the last week.

How many Silverfort MFA subtype requests have there been in the last week that have an MFA response of 'Blocked'?

How many requests in the last week have a Silverfort policy action of 'MFA'?

Give me the top 10 Silverfort requests with Criticalrisk where the source username is "john.doe@something.com".
QuerySilverfortIncidents
指定された期間内のすべての Silverfort 関連インシデントに対するクエリ		 Give me all Silverfort incidents in the last month.

Give me all Silverfort incidents in the last week with status ongoing.

Silverfort プラグインのトラブルシューティング

エラーの発生

要求を完了できませんでした不明なエラーが発生しました、などのエラーが発生した場合 | プラグインがオンになっていることをご確認ください。 このエラーは、ルックバック期間が長すぎる場合に発生し、クエリで大量のデータの取得が試行される可能性があります。 問題が解決しない場合は、Copilot for Security からサインアウトし、その後もう一度サインインします。

プロンプトが正しい機能を呼び出していない

プロンプトが正しい機能を呼び出していない場合、またはプロンプトが他の機能セットを呼び出している場合は、使用する機能セットと同様の機能を持つカスタム プラグインまたは他のプラグインがある可能性があります。

フィードバックの提供

フィードバックを提供するには、 Silverfort にお問い合わせください。

関連項目

Microsoft Copilot for Security 用のその他のプラグイン

Microsoft Copilot for Security でプラグインを管理する