Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Algumas informações neste artigo estão relacionadas com um produto de pré-lançamento que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Observação
Este artigo contém informações sobre plug-ins de terceiros. Esta documentação de orientação é fornecida para ajudar a concluir cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para plug-ins de terceiros. Contacte o fornecedor de terceiros para obter suporte.
O plug-in 1Password para Microsoft Copilot for Security tira partido dos dados de auditoria recolhidos pelo Microsoft Sentinel para fornecer às equipas de segurança informações sobre a utilização de 1Password, potenciais eventos de segurança e comportamentos anómalos. Este plug-in não obtém segredos ou credenciais de 1Password, mas analisa os registos de auditoria e eventos para melhorar as capacidades de monitorização de segurança e resposta a incidentes.
Pré-requisitos
- 1Password Subscrição Empresarial ou Enterprise com capacidade de registo de auditoria.
- Microsoft Sentinel implementado e configurado no seu ambiente de Azure.
- 1 Integração de Relatórios de Eventos de Palavra-passe configurada para enviar registos de auditoria para Microsoft Sentinel.
- Microsoft Sentinel conector de dados 1Password configurado e a ingerir ativamente dados de auditoria 1Password.
- Acesso administrativo ao Microsoft Security Copilot.
- Área de trabalho Microsoft Sentinel ligada no Security Copilot.
- Estar familiarizado com Linguagem de Consulta Kusto (KQL) para consultas personalizadas.
Antes de começar
A integração com Microsoft Security Copilot funciona ao ligar-se à área de trabalho Microsoft Sentinel onde os eventos 1Password estão armazenados.
Terá de efetuar os seguintes passos antes de utilizar o plug-in.
Passo 1: Configurar o Registo de Auditoria de Palavras-passe
Para ativar o registo de auditoria em 1Password, siga a documentação do Relatório de Eventos ou conclua estes passos:
- Inicie sessão no 1Password.com como proprietário ou administrador.
- Clique em Integrações na barra lateral.
- Clique em Diretório na parte superior da página.
- Localize a integração do Microsoft Sentinel e selecione Configurar.
- Introduza um nome para a sua integração (por exemplo, "Microsoft Sentinel Conector").
- Escolha entre:
- Enviar eventos de todos os cofres para reportar eventos para toda a sua conta.
- Selecione cofres para selecionar cofres específicos para relatórios de eventos.
- Selecione Adicionar Integração.
- Guarde o token de portador que é apresentado. Precisará disto para configurar o conector Microsoft Sentinel.
- Siga o guia de integração 1Password Sentinel para ativar o conector sem servidor.
- Configure as políticas de retenção de registos adequadas.
- Verifique se estão a ser registadas atividades de utilizador, eventos de autenticação e ações de administrador.
Para obter opções de configuração detalhadas e resolução de problemas, veja o Guia de configuração do Relatório de Eventos.
Passo 2: Configurar o Conector Microsoft Sentinel para 1Password
- Aceda à área de trabalho Microsoft Sentinel.
- Navegue para a secção Conectores de Dados.
- Localize e selecione o conector de dados 1Password.
- Siga o assistente de configuração para ligar ao seu ambiente 1Password.
- Confirme que os registos de auditoria estão a ser ingeridos com êxito no Microsoft Sentinel.
Passo 3: Instalar e configurar o plug-in
- Inicie sessão no Microsoft Security Copilot.
- Aceda a Gerir Plug-ins ao selecionar o botão Origens na barra de pedidos.
- Junto a 1Password, selecione Configurar.
- Carregue o pacote de plug-in 1Password ou especifique a localização do repositório.
- Configure o plug-in para ligar à área de trabalho Microsoft Sentinel.
Guia de configuração
Parâmetros obrigatórios
Configure os seguintes parâmetros para o plug-in funcionar corretamente:
ID de Inquilino do Microsoft Entra
- O identificador exclusivo do seu ambiente de Microsoft Entra
- Formato:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
ID da Subscrição
- O identificador exclusivo da Subscrição Azure de Microsoft Sentinel
- Formato:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Nome do Grupo de Recursos
- Este é o nome do grupo de recursos que o copilot de segurança irá utilizar para o Sentinel.
Nome da Área de Trabalho
- Este é o nome da área de trabalho que o copilot de segurança utilizará para o Sentinel.
Métodos de configuração
-
Portal de Configuração do Plug-in
- Configurar as definições diretamente no Microsoft Copilot da interface de plug-in Segurança
- Especificar parâmetros de ligação da área de trabalho
- Testar a conectividade antes de guardar
Exemplo de pedidos de palavra-passe
A secção seguinte fornece exemplos de pedidos para experimentar.
1. Consultas de Linguagem Natural
Utilize o idioma de conversação para analisar 1Dados de auditoria de palavras-passe:
- "Mostrar-me todas as tentativas de início de sessão falhadas em 1Password na semana passada"
- "Quem acedeu a cofres confidenciais em 1Password fora do horário comercial?"
- "Alguém criou novos cofres partilhados no último mês?"
2. Comandos Estruturados
Para um controlo mais preciso, utilize a sintaxe do comando estruturado:
analyze-events -type:"item.view" -timeframe:"last 7 days" -user:"admin"detect-anomalies -dataset:"authentication" -baseline:"30 days"report-activity -vault:"Finance" -action:"create,delete,modify"
3. Integração do Fluxo de Trabalho
Inclua a análise de auditoria 1Password como parte de fluxos de trabalho de segurança maiores:
- "Investigar esta conta de utilizador e marcar para atividade 1Password invulgar"
- "Analisar padrões de início de sessão nos nossos fornecedores de SSO, incluindo 1Password"
- "Gerar um relatório de conformidade que mostra todo o acesso a dados regulados em 1Password"
Formatação de Resposta
O plug-in formatar as respostas para fornecer informações de segurança claras:
- Linhas Cronológicas de Eventos: vista cronológica de eventos de segurança relacionados
- Perfis de Atividade do Utilizador: vista agregada dos comportamentos dos utilizadores
- Realce de Anomalias: Limpar a identificação de eventos atípicos
- Análise Visual: Gráficos e gráficos para reconhecimento de padrões
Uso avançado
Investigação de Incidentes de Segurança
O plug-in permite uma investigação avançada de incidentes de segurança que envolvem a utilização de 1Password:
Exemplo de Fluxo de Trabalho de Investigação
- Receber alerta sobre o acesso suspeito ao cofre confidencial
- Consultar registos de auditoria 1Password para todas as ações do utilizador sinalizado
- Analisar padrões de acesso e comparar com a linha de base histórica
- Correlacionar com outra telemetria de segurança (registos de rede, dados de ponto final)
- Gerar linha do tempo de incidentes abrangentes e ações recomendadas
Resolver problemas do plug-in 1Password
Ocorrem erros
Se encontrar erros, como Não foi possível concluir o pedido ou ocorreu um erro desconhecido. Certifique-se de que o plug-in esteja ativado. Este erro pode ocorrer se o período de procura for demasiado longo, o que faz com que a consulta tente obter uma quantidade excessiva de dados. Se o problema persistir, saia do Copilot da Segurança da Microsoft e faça login novamente.
Problemas de Ingestão de Dados
| Problema | Causas possíveis | Passos de Resolução |
|---|---|---|
| Dados de Auditoria em Falta | Configuração incorreta do conector, Problemas do pipeline de ingestão | 1. Verifique Microsoft Sentinel conector status 2. Verificar 1Definições de registo de auditoria de palavras-passe 3. Rever os registos do conector de dados 4. Validar a funcionalidade do agente do Log Analytics |
| Atraso de Dados | Latência da ingestão, Volume de dados elevado, Estrangulamentos de processamento | 1. Verifique o pipeline de ingestão status 2. Reveja as métricas do estado de funcionamento do Microsoft Sentinel 3. Otimizar as regras de recolha de dados 4. Considerar a capacidade dedicada para dados críticos |
Problemas de Consulta
| Problema | Causas possíveis | Passos de Resolução |
|---|---|---|
| Tempo Limite da Consulta | Consultas complexas, Volume de dados grande, Restrições de recursos | 1. Otimizar a complexidade das consultas 2. Adicionar filtros adequados 3. Utilizar a criação de partições baseada no tempo 4. Considerar vistas materializadas |
| Erro de Correspondência de Esquemas | Mapeamentos de campos personalizados, Evolução do esquema, erros do Analisador | 1. Rever definições de esquema 2. Atualizar mapeamentos de campos 3. Verificar a existência de alterações no formato de dados 4. Atualize os analisadores personalizados, se necessário |
Problemas de Acesso ao Plug-in
| Recurso | Problemas Comuns | Passos de Resolução de Problemas |
|---|---|---|
| Acesso à Área de Trabalho | Problemas de permissão, ID da área de trabalho configurada incorretamente | 1. Verificar as permissões de acesso da área de trabalho 2. Verificar cadeia de conexão da área de trabalho 3. Reveja Microsoft Copilot para Configuração de segurança 4. Validar permissões de Microsoft Entra ID |
| Funções KQL | Falha no registo da função, Erros de sintaxe, Tempo limite de execução | 1. Verificar status de registo de funções 2. Validar a sintaxe KQL 3. Rever permissões de função 4. Otimizar a lógica de função |
Otimização do Desempenho
- Utilizar padrões KQL eficientes e evitar associações cruzadas em grandes conjuntos de dados
- Implementar filtros de tempo adequados para limitar o processamento de dados
- Considerar vistas materializadas para executar frequentemente consultas analíticas
- Monitorizar o desempenho de consultas e otimizar operações com muitos recursos
Prompts não estão a invocar as capacidades corretas
Se os pedidos não invocarem as capacidades corretas ou se os pedidos invocarem outro conjunto de capacidades, poderá ter plug-ins personalizados ou outros plug-ins com funcionalidades semelhantes ao conjunto de capacidade que pretende utilizar.
Faça comentários
Para fornecer comentários, contacte https://support.1password.com/.
Confira também
Outros plug-ins para Microsoft Copilot paraplug-ins de Gestão de Segurança no Microsoft Copilot para Segurança