Silverfort
O plug-in silverfort para Microsoft Security Copilot permite uma integração totalmente integrada dos dados CEF avançados do Silverfort no ambiente Microsoft Sentinel para disponibilizar informações sobre a Proteção de identidade. Este plug-in capacita as equipas de segurança para melhorar as suas capacidades de deteção e resposta a ameaças através de consultas de linguagem natural intuitivas e informações detalhadas.
O plug-in do Silverfort tira partido das consultas baseadas em KQL para extrair e analisar dados dos registos de segurança do Silverfort na área de trabalho Microsoft Sentinel. Os utilizadores podem personalizar as consultas com um intervalo de parâmetros de entrada para obter informações direcionadas, permitindo uma investigação de ameaças mais eficiente e medidas de defesa proativa.
Observação
Este artigo contém informações sobre plug-ins de terceiros. Isto é fornecido para ajudar a concluir os cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para plug-ins de terceiros. Contacte o fornecedor de terceiros para obter suporte.
Pré-requisitos
Para utilizar o plug-in do Silverfort, primeiro tem de configurar o Common Event Format (CEF) e o Syslog através do reencaminhamento do Agente do Azure Monitor (AMA) com o seguinte guia. Este plug-in consulta os dados armazenados na tabela CommonSecurityLog numa área de trabalho do Log Analytics ativada para Microsoft Sentinel. Para obter mais informações, veja Ingerir mensagens syslog e CEF para Microsoft Sentinel com o Agente do Azure Monitor.
Depois de configurar um reencaminhador, avance para:
- Atribuir um endereço IP público
- Permitir tráfego de entrada do Syslog na porta 514 nas definições de rede
Agora, está pronto para configurar o Syslog Server em Silverfort para enviar os eventos e fazer com que o AMA recentemente configurado reencaminhe as informações para Microsoft Sentinel.
Introduza o Endereço IP do Reencaminhador AMA no campo IP do Servidor.
Introduza a porta 514 no campo Porta.
Selecione Protocolo TCP no Campo de Protocolo.
Verifique se todas as informações nos campos estão presentes, exceto a aplicação Splunk.
Selecione Guardar Tudo.
Antes de começar
Terá de efetuar os seguintes passos antes de utilizar o plug-in.
Inicie sessão no Microsoft Security Copilot.
Acesse Gerenciar plug-ins selecionando o botão Plug-in na barra de prompts.
Junto a Silverfort, selecione o botão de alternar para ativá-lo.
Forneça as seguintes informações:
- TenantId: o ID da Organização Microsoft Entra ID onde se encontra a área de trabalho Microsoft Sentinel.
- WorkspaceName: o nome da área de trabalho Microsoft Sentinel.
- SubscriptionId: o ID da Subscrição do Azure em que se encontra a área de trabalho Microsoft Sentinel.
- ResourceGroupName: o nome do Grupo de Recursos no qual a área de trabalho Microsoft Sentinel se encontra.
Salve suas alterações.
Pedidos do Silverfort de exemplo
Depois de configurar o plug-in do Silverfort, pode utilizá-lo ao seguir um dos seguintes passos:
- Aceda às capacidades do plug-in ao selecionar o botão Plug-in na barra de pedidos e selecionar Silverfort.
- Perguntar Security Copilot através de qualquer um dos seguintes pedidos de exemplo.
A tabela seguinte lista pedidos de exemplo para experimentar:
Recursos | Prompts de exemplo |
---|---|
QuerySilverfortInformation Consulta informações relacionadas com dados CEF no Microsoft Sentinel com base no tempo, risco, indicador, IP de origem, nome do anfitrião de origem, entre outros. |
Provide a count of Silverfort risk requests that have the Silverfort policy name 'mypolicy' in the last week. How many Silverfort MFA subtype requests have there been in the last week that have an MFA response of 'Blocked'? How many requests in the last week have a Silverfort policy action of 'MFA'? Give me the top 10 Silverfort requests with Criticalrisk where the source username is "john.doe@something.com". |
QuerySilverfortIncidents Consultas para todos os Incidentes relacionados com o Silverfort dentro do período de tempo especificado |
Give me all Silverfort incidents in the last month. Give me all Silverfort incidents in the last week with status ongoing. |
Resolver problemas do plug-in do Silverfort
Ocorrem erros
Se encontrar erros, como Não foi possível concluir o pedido ou ocorreu um erro desconhecido | Certifique-se de que o plug-in está ativado. Este erro pode ocorrer se o período de procura for demasiado longo, o que faz com que a consulta tente obter uma quantidade excessiva de dados. Se o problema persistir, termine sessão no Security Copilot e, em seguida, volte a iniciar sessão.
Solicitações não estão a invocar as capacidades corretas
Se os pedidos não invocarem as capacidades corretas ou se os pedidos invocarem outro conjunto de capacidades, poderá ter plug-ins personalizados ou outros plug-ins com funcionalidades semelhantes ao conjunto de capacidade que pretende utilizar.
Faça comentários
Para fornecer feedback, contacte o Silverfort.