重要事項
本文部分資訊涉及可能在正式上市前進行大幅修改的預售產品。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
注意事項
本文包含有關第三方外掛的資訊。 本指南旨在協助完成整合情境。 然而,Microsoft 並未提供第三方外掛的故障排除支援。 請聯絡第三方供應商尋求支援。
Microsoft Copilot for Security 的 1Password 外掛利用 Microsoft Sentinel 收集的稽核資料,為資安團隊提供 1Password 使用情況、潛在安全事件及異常行為的洞察。 此外掛不會從 1Password 取得秘密或憑證,而是分析稽核日誌與事件,以增強安全監控與事件回應能力。
必要條件
- 1Password 商業或企業訂閱,具備稽核記錄功能。
- Microsoft Sentinel已部署並配置於你的Azure環境。
- 1Password 事件報告整合設定用來將稽核日誌傳送給 Microsoft Sentinel。
- Microsoft Sentinel 1Password 資料連接器已設定並積極匯入 1Password 稽核資料。
- 管理權限存取 Microsoft Security Copilot。
- 在 Security Copilot 中連結 Microsoft Sentinel 工作空間。
- 熟悉 Kusto 查詢語言 (KQL) 用於自訂查詢。
開始之前的須知事項
與 Microsoft Security Copilot 的整合是透過連接你的 Microsoft Sentinel 工作空間來實現,該工作空間中儲存了 1Password 事件。
在使用外掛前,你需要先完成以下步驟。
步驟 1:設定 1Password 稽核日誌
要啟用 1Password 的稽核日誌,請依照 事件報告文件 操作或完成以下步驟:
- 登入以 1Password.com 為擁有者或管理員。
- 在側邊欄點選「整合」。
- 點擊頁面頂端的 目錄 。
- 找到 Microsoft Sentinel 整合並選擇設定。
- 例如輸入你的整合 (名稱,例如「Microsoft Sentinel Connector」) 。
- 選擇其中之一:
- 從所有保險庫發送事件 ,回報整個帳號的事件。
- 選擇保險庫 以選擇特定保險庫進行事件報告。
- 選擇 新增整合。
- 儲存顯示的持有憑證——你需要它來設定 Microsoft Sentinel 連接器。
- 請依照 1Password Sentinel 整合指南啟動無伺服器連接器。
- 設定適當的日誌保留政策。
- 確認使用者活動、認證事件及管理員操作都有被記錄。
如需詳細設定選項與故障排除,請參閱 事件報告設定指南。
步驟 2:設定 Microsoft Sentinel Connector for 1Password
- 存取您的 Microsoft Sentinel 工作空間。
- 請前往資料連接器區塊。
- 找到並選擇 1Password 資料連接器。
- 請依照設定精靈連接你的 1Password 環境。
- 驗證稽核日誌是否成功匯入 Microsoft Sentinel。
步驟 3:安裝並設定外掛
- 登入 Microsoft Security Copilot。
- 請從提示欄選擇「來源」按鈕,來存取「管理外掛程式」。
- 在 1Password 旁邊,選擇設定。
- 上傳 1Password 外掛套件或指定其儲存庫位置。
- 設定外掛連接你的 Microsoft Sentinel 工作空間。
配置指南
必要參數
設定以下參數以使插件正常運作:
Microsoft Entra Tenant ID
- 您的 Microsoft Entra 環境的唯一識別碼
- 賽制:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
訂閱 ID
- Microsoft Sentinel Azure 訂閱的唯一識別碼
- 賽制:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
資源群組名稱
- 這是安全副駕駛(Security Copilot)會用來稱呼 Sentinel 的資源群組名稱。
工作區名稱
- 這是安全副駕駛(Security Copilot)會用來命名 sentinel 的工作區名稱。
配置方法
-
插件配置入口網站
- 直接在 Microsoft Copilot for Security 外掛介面中設定
- 指定工作空間連線參數
- 儲存前先測試連線
範例 1Password 提示
以下章節提供範例提示供嘗試。
1. 自然語言查詢
使用對話語言分析 1Password 稽核資料:
- 「顯示過去一週所有 1Password 失敗的登入嘗試」
- 「誰在非營業時間存取了1Password的敏感保險庫?」
- 「過去一個月有人建立新的共享保險庫嗎?」
2. 結構化指令
為了更精確的控制,請使用結構化指令語法:
analyze-events -type:"item.view" -timeframe:"last 7 days" -user:"admin"detect-anomalies -dataset:"authentication" -baseline:"30 days"report-activity -vault:"Finance" -action:"create,delete,modify"
3. 工作流程整合
將 1Password 稽核分析納入更大規模的安全工作流程中:
- 「調查這個使用者帳號,檢查是否有異常的 1Password 活動」
- 「分析我們所有 SSO 供應商(包括 1Password)的登入模式」
- 「產生一份合規報告,顯示所有對 1Password 受管制資料的存取」
回應格式
外掛會格式化回應以提供清晰的安全洞察:
- 事件時間軸:相關安全事件的時間順序
- 使用者活動檔案:用戶行為的彙整視圖
- 異常標示:明確識別異常事件
- 視覺分析:用於模式識別的圖表與圖表
進階用法
安全事件調查
該外掛可進行與 1Password 使用相關的安全事件進行進階調查:
調查工作流程範例
- 收到關於敏感保險庫可疑存取的警示
- 查詢 1 被標記使用者所有行為的密碼稽核日誌
- 分析存取模式並與歷史基線進行比較
- 與其他安全遙測資料 (網路日誌、端點資料) 相關聯
- 產生完整的事件時間表及建議行動
排除 1Password 外掛問題
錯誤時有發生
如果你遇到錯誤,例如 無法完成你的請求,或 發生未知錯誤。 請確定已開啟外掛程式。 若回查週期過長,可能導致查詢嘗試取得過多資料,導致此錯誤發生。 如果問題持續發生,請登出 Copilot for Security,然後重新登入。
資料擷取問題
| 問題 | 可能的原因 | 解決步驟 |
|---|---|---|
| 缺失的審計資料 | 連接器設定錯誤、導入管線問題 | 1. Verify Microsoft Sentinel connector status 2. 檢查 1 密碼稽核日誌設定 3. 檢視資料連接器日誌 4. 驗證日誌分析代理的功能 |
| 資料延遲 | 資料擷取延遲、高資料量、處理瓶頸 | 1. 檢查資料擷取流程狀態 2. 檢視 Microsoft Sentinel 健康指標 3. 優化資料收集規則 4. 考慮專用容量來存放關鍵資料 |
查詢問題
| 問題 | 可能的原因 | 解決步驟 |
|---|---|---|
| 查詢逾時 | 複雜查詢、龐大資料量、資源限制 | 1. 優化查詢複雜度 2. 加入適當的過濾器 3. 使用基於時間的分割 4. 考慮具體化的觀點 |
| 模式不匹配 | 自訂欄位映射、結構演化、解析器錯誤 | 1. 檢視結構定義 2. 更新欄位映射 3. 檢查資料格式變更 4. 必要時更新自訂解析器 |
插件存取問題
| 功能 | 常見問題 | 故障排除步驟 |
|---|---|---|
| 工作區存取 | 權限問題,工作區 ID 設定錯誤 | 1. 驗證工作區存取權限 2. 檢查工作區連接字串 3. 檢視 Microsoft Copilot 的安全配置 4. 驗證 Microsoft Entra ID 權限 |
| KQL 功能 | 函式註冊失敗、語法錯誤、執行逾時 | 1. 檢查功能註冊狀態 2. 驗證 KQL 語法 3. 審查函式權限 4. 優化函數邏輯 |
效能優化
- 使用高效的 KQL 模式,避免在大型資料集中出現交叉連接
- 實作適當的時間過濾器以限制資料處理
- 考慮將物質化視圖用於經常執行的分析查詢
- 監控查詢效能並優化資源密集型操作
提示沒有呼叫正確的功能
如果提示詞沒有呼叫正確的功能,或是提示詞呼叫了其他能力集,你可能會有自訂外掛或其他外掛,這些外掛功能與你想用的能力集相似。
提供意見反應
如需提供回饋,請聯絡 https://support.1password.com/。
另請參閱
Microsoft Copilot for Security 的其他外掛管理 Microsoft Copilot for Security 中的外掛