Partilhar via


Silverfort

O plug-in silverfort para Microsoft Security Copilot permite uma integração totalmente integrada dos dados CEF avançados do Silverfort no ambiente Microsoft Sentinel para disponibilizar informações sobre a Proteção de identidade. Este plug-in capacita as equipas de segurança para melhorar as suas capacidades de deteção e resposta a ameaças através de consultas de linguagem natural intuitivas e informações detalhadas.

O plug-in do Silverfort tira partido das consultas baseadas em KQL para extrair e analisar dados dos registos de segurança do Silverfort na área de trabalho Microsoft Sentinel. Os utilizadores podem personalizar as consultas com um intervalo de parâmetros de entrada para obter informações direcionadas, permitindo uma investigação de ameaças mais eficiente e medidas de defesa proativa.

Observação

Este artigo contém informações sobre plug-ins de terceiros. Isto é fornecido para ajudar a concluir os cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para plug-ins de terceiros. Contacte o fornecedor de terceiros para obter suporte.

Pré-requisitos

Para utilizar o plug-in do Silverfort, primeiro tem de configurar o Common Event Format (CEF) e o Syslog através do reencaminhamento do Agente do Azure Monitor (AMA) com o seguinte guia. Este plug-in consulta os dados armazenados na tabela CommonSecurityLog numa área de trabalho do Log Analytics ativada para Microsoft Sentinel. Para obter mais informações, veja Ingerir mensagens syslog e CEF para Microsoft Sentinel com o Agente do Azure Monitor.

Depois de configurar um reencaminhador, avance para:

  • Atribuir um endereço IP público
  • Permitir tráfego de entrada do Syslog na porta 514 nas definições de rede

Agora, está pronto para configurar o Syslog Server em Silverfort para enviar os eventos e fazer com que o AMA recentemente configurado reencaminhe as informações para Microsoft Sentinel.

  1. Introduza o Endereço IP do Reencaminhador AMA no campo IP do Servidor.

  2. Introduza a porta 514 no campo Porta.

  3. Selecione Protocolo TCP no Campo de Protocolo.

    Captura de ecrã do servidor syslog em Silverfort.

  4. Verifique se todas as informações nos campos estão presentes, exceto a aplicação Splunk.

  5. Selecione Guardar Tudo.

Antes de começar

Terá de efetuar os seguintes passos antes de utilizar o plug-in.

  1. Inicie sessão no Microsoft Security Copilot.

  2. Acesse Gerenciar plug-ins selecionando o botão Plug-in na barra de prompts.

  3. Junto a Silverfort, selecione o botão de alternar para ativá-lo.

    Forneça as seguintes informações:

    • TenantId: o ID da Organização Microsoft Entra ID onde se encontra a área de trabalho Microsoft Sentinel.
    • WorkspaceName: o nome da área de trabalho Microsoft Sentinel.
    • SubscriptionId: o ID da Subscrição do Azure em que se encontra a área de trabalho Microsoft Sentinel.
    • ResourceGroupName: o nome do Grupo de Recursos no qual a área de trabalho Microsoft Sentinel se encontra.
  4. Salve suas alterações.

Pedidos do Silverfort de exemplo

Depois de configurar o plug-in do Silverfort, pode utilizá-lo ao seguir um dos seguintes passos:

  • Aceda às capacidades do plug-in ao selecionar o botão Plug-in na barra de pedidos e selecionar Silverfort.
  • Perguntar Security Copilot através de qualquer um dos seguintes pedidos de exemplo.

A tabela seguinte lista pedidos de exemplo para experimentar:

Recursos Prompts de exemplo
QuerySilverfortInformation
Consulta informações relacionadas com dados CEF no Microsoft Sentinel com base no tempo, risco, indicador, IP de origem, nome do anfitrião de origem, entre outros.
Provide a count of Silverfort risk requests that have the Silverfort policy name 'mypolicy' in the last week.

How many Silverfort MFA subtype requests have there been in the last week that have an MFA response of 'Blocked'?

How many requests in the last week have a Silverfort policy action of 'MFA'?

Give me the top 10 Silverfort requests with Criticalrisk where the source username is "john.doe@something.com".
QuerySilverfortIncidents
Consultas para todos os Incidentes relacionados com o Silverfort dentro do período de tempo especificado
Give me all Silverfort incidents in the last month.

Give me all Silverfort incidents in the last week with status ongoing.

Resolver problemas do plug-in do Silverfort

Ocorrem erros

Se encontrar erros, como Não foi possível concluir o pedido ou ocorreu um erro desconhecido | Certifique-se de que o plug-in está ativado. Este erro pode ocorrer se o período de procura for demasiado longo, o que faz com que a consulta tente obter uma quantidade excessiva de dados. Se o problema persistir, termine sessão no Security Copilot e, em seguida, volte a iniciar sessão.

Solicitações não estão a invocar as capacidades corretas

Se os pedidos não invocarem as capacidades corretas ou se os pedidos invocarem outro conjunto de capacidades, poderá ter plug-ins personalizados ou outros plug-ins com funcionalidades semelhantes ao conjunto de capacidade que pretende utilizar.

Faça comentários

Para fornecer feedback, contacte o Silverfort.

Confira também

Plug-ins não Microsoft para Microsoft Security Copilot

Gerir plug-ins no Microsoft Security Copilot