Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Alcune informazioni in questo articolo si riferiscono a un prodotto preliminare che può essere modificato in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Nota
Questo articolo contiene informazioni sui plug-in di terze parti. Queste linee guida sono disponibili per completare gli scenari di integrazione. Tuttavia, Microsoft non fornisce supporto per la risoluzione dei problemi per plug-in di terze parti. Per assistenza, contattare il fornitore di terze parti.
Il plug-in 1Password per Microsoft Copilot per la sicurezza sfrutta i dati di controllo raccolti da Microsoft Sentinel per fornire ai team di sicurezza informazioni dettagliate sull'utilizzo di 1Password, sui potenziali eventi di sicurezza e sui comportamenti anomali. Questo plug-in non recupera segreti o credenziali da 1Password, ma analizza i log di controllo e gli eventi per migliorare il monitoraggio della sicurezza e le funzionalità di risposta agli eventi imprevisti.
Prerequisiti
- 1Password Sottoscrizione Business o Enterprise con funzionalità di registrazione di controllo.
- Microsoft Sentinel distribuito e configurato nell'ambiente Azure.
- 1Password Events Reporting integration set up to send audit logs to Microsoft Sentinel (Integrazione dei report degli eventipassword configurata per l'invio dei log di controllo a Microsoft Sentinel).
- Microsoft Sentinel connettore dati 1Password configurato e che inserisce attivamente i dati di controllo 1Password.
- Accesso amministrativo a Microsoft Security Copilot.
- Area di lavoro Microsoft Sentinel collegata in Security Copilot.
- Familiarità con Linguaggio di query Kusto (KQL) per le query personalizzate.
Sapere prima di iniziare
L'integrazione con Microsoft Security Copilot funziona connettendosi all'area di lavoro Microsoft Sentinel in cui sono archiviati gli eventi 1Password.
Prima di usare il plug-in, è necessario seguire questa procedura.
Passaggio 1: Configurare 1Password Audit Logging
Per abilitare la registrazione di controllo in 1Password, seguire la documentazione di Segnalazione eventi o completare la procedura seguente:
- Accedere a 1Password.com come proprietario o amministratore.
- Fare clic su Integrazioni nella barra laterale.
- Fare clic su Directory nella parte superiore della pagina.
- Trovare l'integrazione Microsoft Sentinel e selezionare Configura.
- Immettere un nome per l'integrazione, ad esempio "connettore Microsoft Sentinel".
- Scegliere tra:
- Inviare eventi da tutti gli insiemi di credenziali per segnalare gli eventi per l'intero account.
- Scegliere insiemi di credenziali per selezionare insiemi di credenziali specifici per la creazione di report degli eventi.
- Selezionare Aggiungi integrazione.
- Salvare il token di connessione visualizzato: è necessario per configurare il connettore Microsoft Sentinel.
- Seguire la guida all'integrazione di 1Password Sentinel per attivare il connettore serverless.
- Configurare i criteri di conservazione dei log appropriati.
- Verificare che le attività utente, gli eventi di autenticazione e le azioni di amministratore vengano registrati.
Per informazioni dettagliate sulle opzioni di configurazione e sulla risoluzione dei problemi, vedere la guida alla configurazione di Events Reporting.
Passaggio 2: Configurare Microsoft Sentinel Connector per 1Password
- Accedere all'area di lavoro Microsoft Sentinel.
- Passare alla sezione Connettori dati.
- Individuare e selezionare il connettore dati 1Password.
- Seguire la configurazione guidata per connettersi all'ambiente 1Password.
- Verificare che i log di controllo vengano inseriti correttamente in Microsoft Sentinel.
Passaggio 3: Installare e configurare il plug-in
- Accedere a Microsoft Security Copilot.
- Accedere a Gestisci plug-in selezionando il pulsante Origini dalla barra dei prompt.
- Accanto a 1Password selezionare Configura.
- Caricare il pacchetto del plug-in 1Password o specificare il percorso del repository.
- Configurare il plug-in per la connessione all'area di lavoro Microsoft Sentinel.
Guida alla configurazione
Parametri obbligatori
Configurare i parametri seguenti per il corretto funzionamento del plug-in:
ID tenant Microsoft Entra
- Identificatore univoco dell'ambiente Microsoft Entra
- Formato:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
ID sottoscrizione
- Identificatore univoco della sottoscrizione Azure di Microsoft Sentinel
- Formato:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Nome gruppo di risorse
- Si tratta del nome del gruppo di risorse che verrà usato da Copilot di sicurezza per Sentinel.
Nome area di lavoro
- Si tratta del nome dell'area di lavoro che verrà usato da copilot di sicurezza per Sentinel.
Metodi di configurazione
-
Portale di configurazione plug-in
- Configurare le impostazioni direttamente nell'interfaccia del plug-in Microsoft Copilot for Security
- Specificare i parametri di connessione dell'area di lavoro
- Testare la connettività prima del salvataggio
Richieste 1Password di esempio
Nella sezione seguente vengono forniti i prompt di esempio da provare.
1. Query in linguaggio naturale
Usare il linguaggio di conversazione per analizzare i dati di controllo 1Password:
- "Mostra tutti i tentativi di accesso non riusciti in 1Password nell'ultima settimana"
- "Chi ha eseguito l'accesso agli insiemi di credenziali sensibili in 1Password al di fuori dell'orario di ufficio?"
- "Qualcuno ha creato nuovi insiemi di credenziali condivise nell'ultimo mese?"
2. Comandi strutturati
Per un controllo più preciso, usare la sintassi dei comandi strutturati:
analyze-events -type:"item.view" -timeframe:"last 7 days" -user:"admin"detect-anomalies -dataset:"authentication" -baseline:"30 days"report-activity -vault:"Finance" -action:"create,delete,modify"
3. Integrazione del flusso di lavoro
Includere l'analisi di controllo 1Password come parte di flussi di lavoro di sicurezza più grandi:
- "Esaminare questo account utente e verificare la presenza di un'attività insolita 1Password"
- "Analizzare i modelli di accesso tra i provider SSO, tra cui 1Password"
- "Generare un report di conformità che mostra tutti gli accessi ai dati regolamentati in 1Password"
Formattazione della risposta
Il plug-in formatta le risposte per fornire informazioni chiare sulla sicurezza:
- Sequenze temporali degli eventi: visualizzazione cronologica degli eventi di sicurezza correlati
- Profili attività utente: visualizzazione aggregata dei comportamenti degli utenti
- Evidenziazione anomalie: cancella l'identificazione degli eventi outlier
- Analisi visiva: grafici e grafici per il riconoscimento dei modelli
Utilizzo avanzato
Indagine sugli eventi imprevisti di sicurezza
Il plug-in consente un'analisi avanzata degli eventi imprevisti di sicurezza che coinvolgono l'utilizzo di 1Password:
Flusso di lavoro di analisi di esempio
- Ricevere un avviso sull'accesso sospetto all'insieme di credenziali sensibili
- Eseguire query sui log di controllo 1Password per tutte le azioni eseguite dall'utente contrassegnato
- Analizzare i modelli di accesso e confrontarli con la baseline cronologica
- Correlazione con altri dati di telemetria di sicurezza (log di rete, dati degli endpoint)
- Generare una sequenza temporale completa degli eventi imprevisti e azioni consigliate
Risolvere i problemi del plug-in 1Password
Si verificano errori
Se si verificano errori, ad esempio Impossibile completare la richiesta o Si è verificato un errore sconosciuto. Assicurarsi che il plug-in sia attivato. Questo errore può verificarsi se il periodo di lookback è troppo lungo, causando il tentativo della query di recuperare una quantità eccessiva di dati. Se il problema persiste, disconnettersi da Copilot per la sicurezza e quindi eseguire di nuovo l'accesso.
Problemi di inserimento dati
| Problema | Possibili cause | Passaggi di risoluzione |
|---|---|---|
| Dati di controllo mancanti | Problemi di configurazione del connettore e pipeline di inserimento | 1. Verificare Microsoft Sentinel stato del connettore 2. Controllare 1Impostazioni di registrazione di controllo password 3. Esaminare i log del connettore dati 4. Convalidare la funzionalità dell'agente di Log Analytics |
| Ritardo dati | Latenza di inserimento, volume di dati elevato, colli di bottiglia di elaborazione | 1. Controllare lo stato della pipeline di inserimento 2. Esaminare Microsoft Sentinel metriche di integrità 3. Ottimizzare le regole di raccolta dati 4. Considerare la capacità dedicata per i dati critici |
Problemi di query
| Problema | Possibili cause | Passaggi di risoluzione |
|---|---|---|
| Query Timeout | Query complesse, volume di dati di grandi dimensioni, vincoli di risorse | 1. Ottimizzare la complessità delle query 2. Aggiungere filtri appropriati 3. Usare il partizionamento basato sul tempo 4. Considerare le viste materializzate |
| Mancata corrispondenza dello schema | Mapping di campi personalizzati, evoluzione dello schema, errori del parser | 1. Esaminare le definizioni dello schema 2. Aggiornare i mapping dei campi 3. Verificare la presenza di modifiche al formato dei dati 4. Aggiornare i parser personalizzati, se necessario |
Problemi di accesso ai plug-in
| Funzionalità | Problemi comuni | Procedura di risoluzione dei problemi |
|---|---|---|
| Accesso all'area di lavoro | Problemi di autorizzazione, ID area di lavoro non configurato correttamente | 1. Verificare le autorizzazioni di accesso all'area di lavoro 2. Controllare la stringa di connessione dell'area di lavoro 3. Esaminare Microsoft Copilot per la configurazione della sicurezza 4. Convalidare le autorizzazioni Microsoft Entra ID |
| Funzioni KQL | Errore di registrazione della funzione, errori di sintassi, timeout di esecuzione | 1. Controllare lo stato di registrazione della funzione 2. Convalidare la sintassi KQL 3. Esaminare le autorizzazioni per le funzioni 4. Ottimizzare la logica della funzione |
Ottimizzazione delle prestazioni
- Usare modelli KQL efficienti ed evitare cross-join su set di dati di grandi dimensioni
- Implementare filtri di tempo appropriati per limitare l'elaborazione dei dati
- Prendere in considerazione le viste materializzate per le query analitiche eseguite di frequente
- Monitorare le prestazioni delle query e ottimizzare le operazioni a elevato utilizzo di risorse
Prompt non richiamano le funzionalità corrette
Se i prompt non richiamano le funzionalità corrette o i prompt richiamano un altro set di funzionalità, è possibile che siano presenti plug-in personalizzati o altri plug-in con funzionalità simili a quelle del set di funzionalità che si vuole usare.
Inviare feedback
Per fornire commenti e suggerimenti, contattare https://support.1password.com/.
Vedere anche
Altri plug-in per Microsoft Copilot peri plug-in Gestione sicurezza in Microsoft Copilot per la sicurezza