通过

Silverfort

  • 项目

适用于Microsoft Security Copilot的 Silverfort 插件允许在Microsoft Sentinel环境中无缝集成 Silverfort 的高级 CEF 数据,以引入标识保护见解。 此插件使安全团队能够通过直观的自然语言查询和详细见解来增强其威胁检测和响应功能。

Silverfort 插件利用基于 KQL 的查询从 Microsoft Sentinel 工作区中的 Silverfort 安全日志中提取和分析数据。 用户可以使用一系列输入参数自定义其查询,以检索目标信息,从而实现更高效的威胁调查和主动防御措施。

注意

本文包含有关第三方插件的信息。 这是为了帮助完成集成方案而提供的。 但是,Microsoft不提供对第三方插件的故障排除支持。 请联系第三方供应商获取支持。

先决条件

若要使用 Silverfort 插件,必须先使用以下指南通过 Azure Monitor 代理 (AMA) 转发配置通用事件格式 (CEF) 和 Syslog。 此插件查询存储在启用了Microsoft Sentinel的 log Analytics 工作区中的 CommonSecurityLog 表中的数据。 有关详细信息,请参阅使用 Azure Monitor 代理将 syslog 和 CEF 消息引入到Microsoft Sentinel

设置转发器后,继续执行:

  • 分配公共 IP 地址
  • 在网络设置中,允许端口 514 上的 Syslog 入站流量

现在可以在 Silverfort 中设置 Syslog 服务器以发送事件,并让新配置的 AMA 将信息转发到Microsoft Sentinel。

  1. 在“服务器 IP”字段中输入 AMA 转发者的 IP 地址。

  2. 在“端口”字段中输入端口 514。

  3. 在“协议”字段中选择“TCP 协议”。

    Silverfort 中的 syslog 服务器的屏幕截图。

  4. 验证除 Splunk 应用程序外,字段中的所有信息都存在。

  5. 选择“ 全部保存”。

在开始之前了解

在使用插件之前,需要执行以下步骤。

  1. 登录到 Microsoft Security Copilot

  2. 通过从提示栏中选择“插件”按钮来访问“管理插件”。

  3. Silverfort 旁边,选择切换以启用它。

    请提供下列信息:

    • TenantId:Microsoft Sentinel工作区位于Microsoft Entra ID组织的 ID。
    • WorkspaceName:Microsoft Sentinel工作区的名称。
    • SubscriptionId:Microsoft Sentinel工作区位于的 Azure 订阅的 ID。
    • ResourceGroupName:Microsoft Sentinel工作区中的资源组的名称。

  4. 保存所做的更改。

Silverfort 提示示例

配置 Silverfort 插件后,可以通过执行以下步骤之一使用它:

  • 通过从提示栏中选择“ 插件”按钮 并选择“ Silverfort”来访问插件功能。
  • 使用以下示例提示Security Copilot。

下表列出了尝试的示例提示:

功能 示例提示
QuerySilverfortInformation
根据时间、风险、指示器、源 IP、源主机名等查询Microsoft Sentinel内与 CEF 数据相关的信息。		 Provide a count of Silverfort risk requests that have the Silverfort policy name 'mypolicy' in the last week.

How many Silverfort MFA subtype requests have there been in the last week that have an MFA response of 'Blocked'?

How many requests in the last week have a Silverfort policy action of 'MFA'?

Give me the top 10 Silverfort requests with Criticalrisk where the source username is "john.doe@something.com".
QuerySilverfortIncidents
在指定时间段内查询所有与 Silverfort 相关的事件		 Give me all Silverfort incidents in the last month.

Give me all Silverfort incidents in the last week with status ongoing.

Silverfort 插件疑难解答

发生错误

如果遇到错误,例如 无法完成请求发生未知错误 |确保插件已打开。 如果回溯期过长,导致查询尝试检索过多的数据量,则可能会出现此错误。 如果问题仍然存在,请注销Security Copilot,然后重新登录。

提示未调用正确的功能

如果提示未调用正确的功能,或者提示调用其他一些功能集,则可能具有与要使用的功能集类似的自定义插件或其他插件。

提供反馈

若要提供反馈,请联系 Silverfort

另请参阅

用于Microsoft Security Copilot的非Microsoft插件

在 Microsoft Security Copilot 中管理插件