1Password

Importante

Parte de la información de este artículo se refiere a un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Nota:

Este artículo contiene información sobre complementos de terceros. Esta guía se proporciona para ayudar a completar escenarios de integración. Sin embargo, Microsoft no proporciona compatibilidad para la solución de problemas de complementos de terceros. Póngase en contacto con el proveedor de terceros para obtener soporte técnico.

El complemento 1Password para Microsoft Copilot for Security aprovecha los datos de auditoría recopilados por Microsoft Sentinel para proporcionar a los equipos de seguridad información sobre el uso de 1Password, posibles eventos de seguridad y comportamientos anómalos. Este complemento no recupera secretos ni credenciales de 1Password, sino que analiza los registros de auditoría y los eventos para mejorar las funcionalidades de supervisión de seguridad y respuesta a incidentes.

Requisitos previos

  • 1Inscripción empresarial o empresarial con funcionalidad de registro de auditoría.
  • Microsoft Sentinel implementado y configurado en el entorno de Azure.
  • 1Contrase la integración de informes de eventos de Password configurada para enviar registros de auditoría a Microsoft Sentinel.
  • Microsoft Sentinel conector de datos 1Password configurado e ingeriendo activamente datos de auditoría de 1Password.
  • Acceso administrativo a Microsoft Security Copilot.
  • Área de trabajo de Microsoft Sentinel vinculada en Security Copilot.
  • Familiaridad con Lenguaje de consulta Kusto (KQL) para consultas personalizadas.

Saber antes de empezar

La integración con Microsoft Security Copilot funciona mediante la conexión al área de trabajo de Microsoft Sentinel donde se almacenan los eventos 1Password.

Tendrá que realizar los pasos siguientes antes de usar el complemento.

Paso 1: Configurar el registro de auditoría de 1Password

Para habilitar el registro de auditoría en 1Password, siga la documentación de informes de eventos o complete estos pasos:

  1. Inicie sesión en 1Password.com como propietario o administrador.
  2. Haga clic en Integraciones en la barra lateral.
  3. Haga clic en Directorio en la parte superior de la página.
  4. Busque la integración Microsoft Sentinel y seleccione Configurar.
  5. Escriba un nombre para la integración (por ejemplo, "conector de Microsoft Sentinel").
  6. Elija entre:
    • Envíe eventos desde todos los almacenes para notificar eventos de toda la cuenta.
    • Elija almacenes para seleccionar almacenes específicos para la generación de informes de eventos.
  7. Seleccione Agregar integración.
  8. Guarde el token de portador que se muestra: necesitará esto para configurar el conector de Microsoft Sentinel.
  9. Siga la guía de integración de Sentinel 1Password para activar el conector sin servidor.
  10. Configure las directivas de retención de registros adecuadas.
  11. Compruebe que se están registrando las actividades del usuario, los eventos de autenticación y las acciones de administración.

Para obtener opciones de configuración detalladas y solución de problemas, consulte la guía de configuración de Informes de eventos.

Paso 2: Configuración de Microsoft Sentinel Connector para 1Password

  1. Acceda al área de trabajo de Microsoft Sentinel.
  2. Vaya a la sección Conectores de datos.
  3. Busque y seleccione el conector de datos 1Password.
  4. Siga el Asistente para configuración para conectarse al entorno 1Password.
  5. Compruebe que los registros de auditoría se ingieren correctamente en Microsoft Sentinel.

Paso 3: Instalar y configurar el complemento

  1. Inicie sesión en Microsoft Security Copilot.
  2. Para acceder a Administrar complementos , seleccione el botón Orígenes de la barra de mensajes.
  3. Junto a 1Password, seleccione Configurar.
  4. Cargue el paquete del complemento 1Password o especifique su ubicación del repositorio.
  5. Configure el complemento para conectarse al área de trabajo de Microsoft Sentinel.

Guía de configuración

Parámetros necesarios

Configure los parámetros siguientes para que el complemento funcione correctamente:

  1. identificador de inquilino de Microsoft Entra

    • Identificador único del entorno de Microsoft Entra
    • Formato: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  2. Id. de suscripción

    • Identificador único de la suscripción de Azure de Microsoft Sentinel
    • Formato: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
  3. Nombre del grupo de recursos

    • Este es el nombre del grupo de recursos que usará copilot de seguridad para Sentinel.
  4. Nombre del área de trabajo

    • Este es el nombre del área de trabajo que el copilot de seguridad usará para Sentinel.

Métodos de configuración

  1. Portal de configuración de complementos
    • Configuración de la configuración directamente en la interfaz del complemento Microsoft Copilot for Security
    • Especificar parámetros de conexión del área de trabajo
    • Prueba de conectividad antes de guardar

Ejemplo de solicitudes de 1Password

En la sección siguiente se proporcionan mensajes de ejemplo para intentarlo.

1. Consultas de lenguaje natural

Use el lenguaje conversacional para analizar los datos de auditoría de 1Password:

  • "Mostrarme todos los intentos de inicio de sesión erróneos en 1Password durante la semana pasada"
  • "¿Quién accedió a almacenes confidenciales en 1Password fuera del horario laboral?"
  • "¿Alguien ha creado nuevos almacenes compartidos en el último mes?"

2. Comandos estructurados

Para un control más preciso, use la sintaxis de comandos estructurados:

  • analyze-events -type:"item.view" -timeframe:"last 7 days" -user:"admin"
  • detect-anomalies -dataset:"authentication" -baseline:"30 days"
  • report-activity -vault:"Finance" -action:"create,delete,modify"

3. Integración del flujo de trabajo

Incluya el análisis de auditoría 1Password como parte de flujos de trabajo de seguridad más grandes:

  • "Investigue esta cuenta de usuario y compruebe si hay actividad inusual de 1Password"
  • "Analizar patrones de inicio de sesión en nuestros proveedores de SSO, incluido 1Password"
  • "Generar un informe de cumplimiento que muestre todo el acceso a los datos regulados en 1Password"

Formato de respuesta

El complemento da formato a las respuestas para proporcionar información de seguridad clara:

  • Escalas de tiempo de eventos: vista cronológica de eventos de seguridad relacionados
  • Perfiles de actividad de usuario: vista agregada de los comportamientos del usuario
  • Resaltado de anomalías: identificación clara de eventos atípicos
  • Visual Analytics: gráficos y gráficos para el reconocimiento de patrones

Uso avanzado

Investigación de incidentes de seguridad

El complemento permite la investigación avanzada de incidentes de seguridad que implican el uso de 1Password:

Flujo de trabajo de investigación de ejemplo

  1. Recibir alertas sobre el acceso sospechoso al almacén confidencial
  2. Consulta de registros de auditoría de 1Password para todas las acciones del usuario marcado
  3. Análisis de patrones de acceso y comparación con línea base histórica
  4. Correlacionar con otros datos de telemetría de seguridad (registros de red, datos de punto de conexión)
  5. Generación de una escala de tiempo completa de incidentes y acciones recomendadas

Solución de problemas del complemento 1Password

Se producen errores

Si encuentra errores, como No se pudo completar la solicitud o Se produjo un error desconocido. Asegúrese de que el complemento esté activado. Este error puede producirse si el período de reversión es demasiado largo, lo que hace que la consulta intente recuperar una cantidad excesiva de datos. Si el problema persiste, cierre la sesión de Copilot para seguridad y vuelva a iniciar sesión.

Problemas de ingesta de datos

Incidencia Causas posibles Pasos de resolución
Faltan datos de auditoría Errores de configuración del conector, problemas de canalización de ingesta 1. Comprobar Microsoft Sentinel estado del conector
2. Comprobación de la configuración del registro de auditoría 1Password
3. Revisión de los registros del conector de datos
4. Validación de la funcionalidad del agente de Log Analytics
Retraso de datos Latencia de ingesta, alto volumen de datos, cuellos de botella de procesamiento 1. Comprobar el estado de la canalización de ingesta
2. Revisión de las métricas de estado de Microsoft Sentinel
3. Optimizar las reglas de recopilación de datos
4. Considerar la capacidad dedicada para datos críticos

Problemas de consulta

Incidencia Causas posibles Pasos de resolución
Tiempo de espera de consulta Consultas complejas, volumen de datos grande, restricciones de recursos 1. Optimizar la complejidad de las consultas
2. Agregar filtros adecuados
3. Uso de particiones basadas en el tiempo
4. Consideración de las vistas materializadas
Error de coincidencia de esquema Asignaciones de campos personalizadas, evolución del esquema, errores del analizador 1. Revisar las definiciones de esquema
2. Actualizar asignaciones de campos
3. Comprobar si hay cambios en el formato de datos
4. Actualizar analizadores personalizados si es necesario

Problemas de acceso del complemento

Característica Problemas comunes Pasos de solución de problemas
Acceso al área de trabajo Problemas de permisos, identificador de área de trabajo mal configurada 1. Comprobar los permisos de acceso al área de trabajo
2. Comprobar el área de trabajo cadena de conexión
3. Revisión de Microsoft Copilot para la configuración de seguridad
4. Validar permisos de Microsoft Entra ID
Funciones KQL Error de registro de funciones, errores de sintaxis, tiempo de espera de ejecución 1. Comprobación del estado del registro de funciones
2. Validación de la sintaxis de KQL
3. Revisar los permisos de función
4. Optimizar la lógica de la función

Optimización del rendimiento

  • Usar patrones de KQL eficaces y evitar combinaciones cruzadas en conjuntos de datos grandes
  • Implementación de filtros de tiempo adecuados para limitar el procesamiento de datos
  • Considere la posibilidad de realizar vistas materializadas para las consultas analíticas de ejecución frecuente
  • Supervisión del rendimiento de las consultas y optimización de las operaciones que consumen muchos recursos

Consultas no invocan las funcionalidades correctas

Si los mensajes no invocan las capacidades correctas o los avisos invocan algún otro conjunto de funcionalidades, es posible que tenga complementos personalizados u otros complementos que tengan una funcionalidad similar a la del conjunto de funcionalidades que desea usar.

Enviar comentarios

Para proporcionar comentarios, póngase en contacto con https://support.1password.com/.

Vea también

Otros complementos para Microsoft Copilot paracomplementos de administración de seguridad en Microsoft Copilot for Security