Поделиться через

Silverfort

  • Статья

Подключаемый модуль Silverfort для Microsoft Security Copilot позволяет легко интегрировать расширенные данные CEF Silverfort в Microsoft Sentinel среде для предоставления аналитических сведений о защите идентификации. Этот подключаемый модуль позволяет группам безопасности расширить свои возможности обнаружения угроз и реагирования на нее с помощью интуитивно понятных запросов на естественном языке и подробных аналитических сведений.

Подключаемый модуль Silverfort использует запросы на основе KQL для извлечения и анализа данных из журналов безопасности Silverfort в рабочей области Microsoft Sentinel. Пользователи могут настраивать свои запросы с помощью диапазона входных параметров для получения целевой информации, что обеспечивает более эффективное исследование угроз и упреждающие меры защиты.

Примечание.

Эта статья содержит сведения о сторонних подключаемых модулях. Он предоставляется для выполнения сценариев интеграции. Однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних подключаемых модулей. Обратитесь за поддержкой к стороннему поставщику.

Предварительные условия

Чтобы использовать подключаемый модуль Silverfort, сначала необходимо настроить общий формат событий (CEF) и системный журнал с помощью агента Azure Monitor (AMA), используя следующее руководство. Этот подключаемый модуль запрашивает данные, хранящиеся в таблице CommonSecurityLog в рабочей области Log Analytics, включенной для Microsoft Sentinel. Дополнительные сведения см. в статье Прием сообщений системного журнала и CEF для Microsoft Sentinel с агентом Azure Monitor.

После настройки сервера пересылки перейдите к:

  • Назначение общедоступного IP-адреса
  • Разрешить входящий трафик syslog через порт 514 в параметрах сети

Теперь вы можете настроить сервер системного журнала в Silverfort для отправки событий, а только что настроенный AMA перенаправит сведения в Microsoft Sentinel.

  1. Введите IP-адрес сервера пересылки AMA в поле IP-адрес сервера.

  2. Введите порт 514 в поле Порт.

  3. Выберите Протокол TCP в поле Протокол.

    Снимок экрана: сервер системного журнала в Silverfort.

  4. Убедитесь, что все сведения в полях присутствуют, кроме приложения Splunk.

  5. Выберите Сохранить все.

Перед началом работы

Перед использованием подключаемого модуля необходимо выполнить следующие действия.

  1. Войдите в Microsoft Security Copilot.

  2. Перейдите в раздел Управление подключаемыми модулями, нажав кнопку Подключаемый модуль на панели запросов.

  3. Рядом с полем Silverfort выберите переключатель, чтобы включить его.

    Укажите следующую информацию:

    • TenantId— идентификатор организации Microsoft Entra ID, в которую находится рабочая область Microsoft Sentinel.
    • WorkspaceName: имя рабочей области Microsoft Sentinel.
    • SubscriptionId— идентификатор подписки Azure, в которую находится рабочая область Microsoft Sentinel.
    • ResourceGroupName: имя группы ресурсов, в которую находится рабочая область Microsoft Sentinel.

  4. Сохраните изменения.

Примеры запросов Silverfort

После настройки подключаемого модуля Silverfort его можно использовать, выполнив одно из следующих действий:

  • Чтобы получить доступ к возможностям подключаемого модуля, нажмите кнопку Подключаемый модуль на панели запросов и выберите Silverfort.
  • Запрос Security Copilot с помощью любого из следующих примеров запросов.

В следующей таблице перечислены примеры запросов на попытку:

Возможность Примеры запросов
QuerySilverfortInformation
Запрашивает информацию, связанную с данными CEF в Microsoft Sentinel, на основе времени, риска, индикатора, исходного IP-адреса, имени исходного узла и других.		 Provide a count of Silverfort risk requests that have the Silverfort policy name 'mypolicy' in the last week.

How many Silverfort MFA subtype requests have there been in the last week that have an MFA response of 'Blocked'?

How many requests in the last week have a Silverfort policy action of 'MFA'?

Give me the top 10 Silverfort requests with Criticalrisk where the source username is "john.doe@something.com".
QuerySilverfortIncidents
Запросы для всех инцидентов, связанных с Silverfort, за указанный период времени		 Give me all Silverfort incidents in the last month.

Give me all Silverfort incidents in the last week with status ongoing.

Устранение неполадок с подключаемым модулем Silverfort

Возникают ошибки

Если возникают ошибки, например не удалось выполнить запрос или произошла неизвестная ошибка | Убедитесь, что подключаемый модуль включен. Эта ошибка может возникнуть, если период обратного просмотра слишком длинный, что приводит к попытке запроса получить чрезмерный объем данных. Если проблема не исчезнет, выйдите из Security Copilot, а затем снова войдите в систему.

Запросы не вызывают правильные возможности

Если запросы не вызывают правильные возможности или запросы вызывают какой-либо другой набор возможностей, у вас могут быть пользовательские подключаемые модули или другие подключаемые модули с функциональностью, аналогичной набору возможностей, который вы хотите использовать.

Предоставление отзывов

Чтобы оставить отзыв, обратитесь в Silverfort.

См. также

Подключаемые модули сторонних Microsoft Security Copilot

Управление подключаемыми модулями в Microsoft Security Copilot