Condividi tramite

Silverfort

  • Articolo

Il plug-in Silverfort per Microsoft Security Copilot consente di integrare facilmente i dati CEF avanzati di Silverfort all'interno dell'ambiente Microsoft Sentinel per offrire informazioni dettagliate sulla protezione delle identità. Questo plug-in consente ai team di sicurezza di migliorare le funzionalità di rilevamento delle minacce e risposta tramite query intuitive in linguaggio naturale e informazioni dettagliate.

Il plug-in Silverfort sfrutta le query basate su KQL per estrarre e analizzare i dati dai log di sicurezza di Silverfort all'interno dell'area di lavoro Microsoft Sentinel. Gli utenti possono personalizzare le query usando una gamma di parametri di input per recuperare informazioni mirate, consentendo un'analisi delle minacce più efficiente e misure di difesa proattive.

Nota

Questo articolo contiene informazioni sui plug-in di terze parti. Questa opzione viene fornita per completare gli scenari di integrazione. Tuttavia, Microsoft non fornisce supporto per la risoluzione dei problemi per plug-in di terze parti. Per assistenza, contattare il fornitore di terze parti.

Prerequisiti

Per usare il plug-in Silverfort, è innanzitutto necessario configurare Common Event Format (CEF) e Syslog tramite l'inoltro dell'agente di Monitoraggio di Azure (AMA) usando la guida seguente. Questo plug-in esegue query sui dati archiviati nella tabella CommonSecurityLog in un'area di lavoro log Analytics abilitata per Microsoft Sentinel. Per altre informazioni, vedere Inserire messaggi syslog e CEF da Microsoft Sentinel con l'agente di Monitoraggio di Azure.

Dopo aver configurato un server d'inoltro, procedere con:

  • Assegnare un indirizzo IP pubblico
  • Consenti traffico in ingresso Syslog sulla porta 514 nelle impostazioni di rete

È ora possibile configurare il server Syslog in Silverfort per inviare gli eventi e fare in modo che l'AMA appena configurato invii le informazioni a Microsoft Sentinel.

  1. Immettere l'indirizzo IP del server d'inoltro AMA nel campo Ip server.

  2. Immettere la porta 514 nel campo Porta.

  3. Selezionare Protocollo TCP nel campo Protocollo.

    Screenshot del server syslog in Silverfort.

  4. Verificare che tutte le informazioni nei campi siano presenti ad eccezione dell'applicazione Splunk.

  5. Selezionare Salva tutto.

Sapere prima di iniziare

Prima di usare il plug-in, è necessario seguire questa procedura.

  1. Accedere a Microsoft Security Copilot.

  2. Per accedere a Gestisci plug-in, selezionare il pulsante Plug-in dalla barra del prompt.

  3. Accanto a Silverfort selezionare l'interruttore per abilitarlo.

    Fornire le seguenti informazioni:

    • TenantId: ID dell'organizzazione Microsoft Entra ID in cui si trova l'area di lavoro Microsoft Sentinel.
    • WorkspaceName: nome dell'area di lavoro Microsoft Sentinel.
    • SubscriptionId: ID della sottoscrizione di Azure in cui si trova l'area di lavoro Microsoft Sentinel.
    • ResourceGroupName: nome del gruppo di risorse in cui si trova l'area di lavoro Microsoft Sentinel.

  4. Salvare le modifiche.

Richieste silverfort di esempio

Dopo aver configurato il plug-in Silverfort, è possibile usarlo eseguendo una delle operazioni seguenti:

  • Accedere alle funzionalità del plug-in selezionando il pulsante Plug-in dalla barra dei prompt e selezionando Silverfort.
  • Richiedere Security Copilot utilizzando uno dei prompt di esempio seguenti.

Nella tabella seguente sono elencati i prompt di esempio per provare:

Funzionalità Prompt di esempio
QuerySilverfortInformation
Esegue query sulle informazioni relative ai dati CEF all'interno di Microsoft Sentinel in base a tempo, rischio, indicatore, IP di origine, nome host di origine e altri.		 Provide a count of Silverfort risk requests that have the Silverfort policy name 'mypolicy' in the last week.

How many Silverfort MFA subtype requests have there been in the last week that have an MFA response of 'Blocked'?

How many requests in the last week have a Silverfort policy action of 'MFA'?

Give me the top 10 Silverfort requests with Criticalrisk where the source username is "john.doe@something.com".
QuerySilverfortIncidents
Query per tutti gli eventi imprevisti correlati a Silverfort entro il periodo di tempo specificato		 Give me all Silverfort incidents in the last month.

Give me all Silverfort incidents in the last week with status ongoing.

Risolvere i problemi del plug-in Silverfort

Si verificano errori

Se si verificano errori, ad esempio Impossibile completare la richiesta o Si è verificato un errore sconosciuto | Assicurarsi che il plug-in sia attivato. Questo errore può verificarsi se il periodo di lookback è troppo lungo, causando il tentativo della query di recuperare una quantità eccessiva di dati. Se il problema persiste, disconnettersi da Security Copilot e quindi eseguire di nuovo l'accesso.

Richieste non richiamano le funzionalità corrette

Se i prompt non richiamano le funzionalità corrette o i prompt richiamano un altro set di funzionalità, è possibile che siano presenti plug-in personalizzati o altri plug-in con funzionalità simili a quelle del set di funzionalità che si vuole usare.

Inviare feedback

Per fornire commenti e suggerimenti, contattare Silverfort.

Vedere anche

Plug-in non Microsoft per Microsoft Security Copilot

Gestire i plug-in in Microsoft Security Copilot