Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Parte de la información de este artículo se refiere a un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Nota:
Este artículo contiene información sobre complementos de terceros. Esta guía se proporciona para ayudar a completar escenarios de integración. Sin embargo, Microsoft no proporciona compatibilidad para la solución de problemas de complementos de terceros. Póngase en contacto con el proveedor de terceros para obtener soporte técnico.
El complemento 1Password para Microsoft Copilot for Security aprovecha los datos de auditoría recopilados por Microsoft Sentinel para proporcionar a los equipos de seguridad información sobre el uso de 1Password, posibles eventos de seguridad y comportamientos anómalos. Este complemento no recupera secretos ni credenciales de 1Password, sino que analiza los registros de auditoría y los eventos para mejorar las funcionalidades de supervisión de seguridad y respuesta a incidentes.
Requisitos previos
- 1Inscripción empresarial o empresarial con funcionalidad de registro de auditoría.
- Microsoft Sentinel implementado y configurado en el entorno de Azure.
- 1Contrase la integración de informes de eventos de Password configurada para enviar registros de auditoría a Microsoft Sentinel.
- Microsoft Sentinel conector de datos 1Password configurado e ingeriendo activamente datos de auditoría de 1Password.
- Acceso administrativo a Microsoft Security Copilot.
- Área de trabajo de Microsoft Sentinel vinculada en Security Copilot.
- Familiaridad con Lenguaje de consulta Kusto (KQL) para consultas personalizadas.
Saber antes de empezar
La integración con Microsoft Security Copilot funciona mediante la conexión al área de trabajo de Microsoft Sentinel donde se almacenan los eventos 1Password.
Tendrá que realizar los pasos siguientes antes de usar el complemento.
Paso 1: Configurar el registro de auditoría de 1Password
Para habilitar el registro de auditoría en 1Password, siga la documentación de informes de eventos o complete estos pasos:
- Inicie sesión en 1Password.com como propietario o administrador.
- Haga clic en Integraciones en la barra lateral.
- Haga clic en Directorio en la parte superior de la página.
- Busque la integración Microsoft Sentinel y seleccione Configurar.
- Escriba un nombre para la integración (por ejemplo, "conector de Microsoft Sentinel").
- Elija entre:
- Envíe eventos desde todos los almacenes para notificar eventos de toda la cuenta.
- Elija almacenes para seleccionar almacenes específicos para la generación de informes de eventos.
- Seleccione Agregar integración.
- Guarde el token de portador que se muestra: necesitará esto para configurar el conector de Microsoft Sentinel.
- Siga la guía de integración de Sentinel 1Password para activar el conector sin servidor.
- Configure las directivas de retención de registros adecuadas.
- Compruebe que se están registrando las actividades del usuario, los eventos de autenticación y las acciones de administración.
Para obtener opciones de configuración detalladas y solución de problemas, consulte la guía de configuración de Informes de eventos.
Paso 2: Configuración de Microsoft Sentinel Connector para 1Password
- Acceda al área de trabajo de Microsoft Sentinel.
- Vaya a la sección Conectores de datos.
- Busque y seleccione el conector de datos 1Password.
- Siga el Asistente para configuración para conectarse al entorno 1Password.
- Compruebe que los registros de auditoría se ingieren correctamente en Microsoft Sentinel.
Paso 3: Instalar y configurar el complemento
- Inicie sesión en Microsoft Security Copilot.
- Para acceder a Administrar complementos , seleccione el botón Orígenes de la barra de mensajes.
- Junto a 1Password, seleccione Configurar.
- Cargue el paquete del complemento 1Password o especifique su ubicación del repositorio.
- Configure el complemento para conectarse al área de trabajo de Microsoft Sentinel.
Guía de configuración
Parámetros necesarios
Configure los parámetros siguientes para que el complemento funcione correctamente:
identificador de inquilino de Microsoft Entra
- Identificador único del entorno de Microsoft Entra
- Formato:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Id. de suscripción
- Identificador único de la suscripción de Azure de Microsoft Sentinel
- Formato:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Nombre del grupo de recursos
- Este es el nombre del grupo de recursos que usará copilot de seguridad para Sentinel.
Nombre del área de trabajo
- Este es el nombre del área de trabajo que el copilot de seguridad usará para Sentinel.
Métodos de configuración
-
Portal de configuración de complementos
- Configuración de la configuración directamente en la interfaz del complemento Microsoft Copilot for Security
- Especificar parámetros de conexión del área de trabajo
- Prueba de conectividad antes de guardar
Ejemplo de solicitudes de 1Password
En la sección siguiente se proporcionan mensajes de ejemplo para intentarlo.
1. Consultas de lenguaje natural
Use el lenguaje conversacional para analizar los datos de auditoría de 1Password:
- "Mostrarme todos los intentos de inicio de sesión erróneos en 1Password durante la semana pasada"
- "¿Quién accedió a almacenes confidenciales en 1Password fuera del horario laboral?"
- "¿Alguien ha creado nuevos almacenes compartidos en el último mes?"
2. Comandos estructurados
Para un control más preciso, use la sintaxis de comandos estructurados:
analyze-events -type:"item.view" -timeframe:"last 7 days" -user:"admin"detect-anomalies -dataset:"authentication" -baseline:"30 days"report-activity -vault:"Finance" -action:"create,delete,modify"
3. Integración del flujo de trabajo
Incluya el análisis de auditoría 1Password como parte de flujos de trabajo de seguridad más grandes:
- "Investigue esta cuenta de usuario y compruebe si hay actividad inusual de 1Password"
- "Analizar patrones de inicio de sesión en nuestros proveedores de SSO, incluido 1Password"
- "Generar un informe de cumplimiento que muestre todo el acceso a los datos regulados en 1Password"
Formato de respuesta
El complemento da formato a las respuestas para proporcionar información de seguridad clara:
- Escalas de tiempo de eventos: vista cronológica de eventos de seguridad relacionados
- Perfiles de actividad de usuario: vista agregada de los comportamientos del usuario
- Resaltado de anomalías: identificación clara de eventos atípicos
- Visual Analytics: gráficos y gráficos para el reconocimiento de patrones
Uso avanzado
Investigación de incidentes de seguridad
El complemento permite la investigación avanzada de incidentes de seguridad que implican el uso de 1Password:
Flujo de trabajo de investigación de ejemplo
- Recibir alertas sobre el acceso sospechoso al almacén confidencial
- Consulta de registros de auditoría de 1Password para todas las acciones del usuario marcado
- Análisis de patrones de acceso y comparación con línea base histórica
- Correlacionar con otros datos de telemetría de seguridad (registros de red, datos de punto de conexión)
- Generación de una escala de tiempo completa de incidentes y acciones recomendadas
Solución de problemas del complemento 1Password
Se producen errores
Si encuentra errores, como No se pudo completar la solicitud o Se produjo un error desconocido. Asegúrese de que el complemento esté activado. Este error puede producirse si el período de reversión es demasiado largo, lo que hace que la consulta intente recuperar una cantidad excesiva de datos. Si el problema persiste, cierre la sesión de Copilot para seguridad y vuelva a iniciar sesión.
Problemas de ingesta de datos
| Incidencia | Causas posibles | Pasos de resolución |
|---|---|---|
| Faltan datos de auditoría | Errores de configuración del conector, problemas de canalización de ingesta | 1. Comprobar Microsoft Sentinel estado del conector 2. Comprobación de la configuración del registro de auditoría 1Password 3. Revisión de los registros del conector de datos 4. Validación de la funcionalidad del agente de Log Analytics |
| Retraso de datos | Latencia de ingesta, alto volumen de datos, cuellos de botella de procesamiento | 1. Comprobar el estado de la canalización de ingesta 2. Revisión de las métricas de estado de Microsoft Sentinel 3. Optimizar las reglas de recopilación de datos 4. Considerar la capacidad dedicada para datos críticos |
Problemas de consulta
| Incidencia | Causas posibles | Pasos de resolución |
|---|---|---|
| Tiempo de espera de consulta | Consultas complejas, volumen de datos grande, restricciones de recursos | 1. Optimizar la complejidad de las consultas 2. Agregar filtros adecuados 3. Uso de particiones basadas en el tiempo 4. Consideración de las vistas materializadas |
| Error de coincidencia de esquema | Asignaciones de campos personalizadas, evolución del esquema, errores del analizador | 1. Revisar las definiciones de esquema 2. Actualizar asignaciones de campos 3. Comprobar si hay cambios en el formato de datos 4. Actualizar analizadores personalizados si es necesario |
Problemas de acceso del complemento
| Característica | Problemas comunes | Pasos de solución de problemas |
|---|---|---|
| Acceso al área de trabajo | Problemas de permisos, identificador de área de trabajo mal configurada | 1. Comprobar los permisos de acceso al área de trabajo 2. Comprobar el área de trabajo cadena de conexión 3. Revisión de Microsoft Copilot para la configuración de seguridad 4. Validar permisos de Microsoft Entra ID |
| Funciones KQL | Error de registro de funciones, errores de sintaxis, tiempo de espera de ejecución | 1. Comprobación del estado del registro de funciones 2. Validación de la sintaxis de KQL 3. Revisar los permisos de función 4. Optimizar la lógica de la función |
Optimización del rendimiento
- Usar patrones de KQL eficaces y evitar combinaciones cruzadas en conjuntos de datos grandes
- Implementación de filtros de tiempo adecuados para limitar el procesamiento de datos
- Considere la posibilidad de realizar vistas materializadas para las consultas analíticas de ejecución frecuente
- Supervisión del rendimiento de las consultas y optimización de las operaciones que consumen muchos recursos
Consultas no invocan las funcionalidades correctas
Si los mensajes no invocan las capacidades correctas o los avisos invocan algún otro conjunto de funcionalidades, es posible que tenga complementos personalizados u otros complementos que tengan una funcionalidad similar a la del conjunto de funcionalidades que desea usar.
Enviar comentarios
Para proporcionar comentarios, póngase en contacto con https://support.1password.com/.
Vea también
Otros complementos para Microsoft Copilot paracomplementos de administración de seguridad en Microsoft Copilot for Security