Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein Vorabrelease-Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Hinweis
Dieser Artikel enthält Informationen zu Plug-Ins von Drittanbietern. Diese Anleitung wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Plug-Ins von Drittanbietern. Wenden Sie sich an den Drittanbieter, um Support zu erhalten.
Das 1Password-Plug-In für Microsoft Copilot for Security nutzt Überwachungsdaten, die von Microsoft Sentinel gesammelt werden, um Sicherheitsteams Einblicke in die Verwendung von 1Password, potenzielle Sicherheitsereignisse und anomales Verhalten zu bieten. Dieses Plug-In ruft keine Geheimnisse oder Anmeldeinformationen aus 1Password ab, sondern analysiert die Überwachungsprotokolle und -ereignisse, um die Sicherheitsüberwachungs- und Reaktionsfunktionen zu verbessern.
Voraussetzungen
- 1Password Business- oder Enterprise-Abonnement mit Überwachungsprotokollierungsfunktion.
- Microsoft Sentinel in Ihrer Azure-Umgebung bereitgestellt und konfiguriert.
- 1Password-Ereignisberichtsintegration zum Senden von Überwachungsprotokollen an Microsoft Sentinel eingerichtet.
- Microsoft Sentinel 1Password-Datenconnector konfiguriert und erfasst aktiv 1Password-Überwachungsdaten.
- Administratorzugriff auf Microsoft Security Copilot.
- Verknüpfter Microsoft Sentinel Arbeitsbereich in Security Copilot.
- Vertrautheit mit Kusto-Abfragesprache (KQL) für benutzerdefinierte Abfragen.
Klare Ideen vor dem Loslegen
Die Integration in Microsoft Security Copilot funktioniert, indem Sie eine Verbindung mit Ihrem Microsoft Sentinel Arbeitsbereich herstellen, in dem 1Password-Ereignisse gespeichert sind.
Sie müssen die folgenden Schritte ausführen, bevor Sie das Plug-In verwenden.
Schritt 1: Konfigurieren der 1Kennwortüberwachungsprotokollierung
Um die Überwachungsprotokollierung in 1Password zu aktivieren, befolgen Sie die Dokumentation zur Ereignisberichterstattung , oder führen Sie die folgenden Schritte aus:
- Melden Sie sich bei 1Password.com als Besitzer oder Administrator an.
- Klicken Sie auf der Randleiste auf Integrationen .
- Klicken Sie oben auf der Seite auf Verzeichnis .
- Suchen Sie die Microsoft Sentinel Integration, und wählen Sie Einrichten aus.
- Geben Sie einen Namen für Ihre Integration ein (z. B. "Microsoft Sentinel Connector").
- Sie haben die folgenden Auswahlmöglichkeiten:
- Senden sie Ereignisse aus allen Tresoren , um Ereignisse für Ihr gesamtes Konto zu melden.
- Wählen Sie Tresore aus, um bestimmte Tresore für die Ereignisberichterstattung auszuwählen.
- Wählen Sie Integration hinzufügen aus.
- Speichern Sie das angezeigte Bearertoken. Sie benötigen dies, um den Microsoft Sentinel Connector zu konfigurieren.
- Befolgen Sie die Anleitung zur Integration von 1Password Sentinel, um den serverlosen Connector zu aktivieren.
- Konfigurieren Sie die entsprechenden Protokollaufbewahrungsrichtlinien.
- Stellen Sie sicher, dass Benutzeraktivitäten, Authentifizierungsereignisse und Administratoraktionen protokolliert werden.
Ausführliche Konfigurationsoptionen und Problembehandlung finden Sie im Setuphandbuch für die Ereignisberichterstattung.
Schritt 2: Einrichten von Microsoft Sentinel Connector für 1Password
- Greifen Sie auf Ihren Microsoft Sentinel-Arbeitsbereich zu.
- Navigieren Sie zum Abschnitt Datenconnectors.
- Suchen Sie den Connector 1Kennwortdaten, und wählen Sie ihn aus.
- Befolgen Sie den Konfigurations-Assistenten, um eine Verbindung mit Ihrer 1Password-Umgebung herzustellen.
- Überprüfen Sie, ob Überwachungsprotokolle erfolgreich in Microsoft Sentinel erfasst werden.
Schritt 3: Installieren und Konfigurieren des Plug-Ins
- Melden Sie sich bei Microsoft Security Copilot an.
- Greifen Sie auf Plug-Ins verwalten zu, indem Sie in der Eingabeaufforderungsleiste auf die Schaltfläche Quellen klicken.
- Wählen Sie neben 1Kennwortdie Option Einrichten aus.
- Laden Sie das 1Password-Plug-In-Paket hoch, oder geben Sie den Repositoryspeicherort an.
- Konfigurieren Sie das Plug-In, um eine Verbindung mit Ihrem Microsoft Sentinel Arbeitsbereich herzustellen.
Konfigurationshandbuch
Erforderliche Parameter
Konfigurieren Sie die folgenden Parameter, damit das Plug-In ordnungsgemäß funktioniert:
Microsoft Entra Mandanten-ID
- Der eindeutige Bezeichner Ihrer Microsoft Entra-Umgebung
- Format:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Abonnement-ID
- Der eindeutige Bezeichner des Azure-Abonnements von Microsoft Sentinel
- Format:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Ressourcengruppenname
- Dies ist der Ressourcengruppenname, den Security Copilot für Sentinel verwendet.
Arbeitsbereichsname
- Dies ist der Arbeitsbereichsname, den Security Copilot für Sentinel verwendet.
Konfigurationsmethoden
-
Plug-In-Konfigurationsportal
- Konfigurieren von Einstellungen direkt in der Schnittstelle des Microsoft Copilot für Das Sicherheits-Plug-In
- Angeben von Arbeitsbereichsverbindungsparametern
- Testen der Konnektivität vor dem Speichern
Beispiel 1Kennworteingabeaufforderungen
Der folgende Abschnitt enthält Beispieleingabeaufforderungen zum Ausprobieren.
1. Abfragen in natürlicher Sprache
Verwenden Sie die Konversationssprache, um 1Password-Überwachungsdaten zu analysieren:
- "Alle fehlgeschlagenen Anmeldeversuche in 1Password in der letzten Woche anzeigen"
- "Wer hat außerhalb der Geschäftszeiten auf sensible Tresore in 1Password zugegriffen?"
- "Hat jemand im letzten Monat neue freigegebene Tresore erstellt?"
2. Strukturierte Befehle
Verwenden Sie eine strukturierte Befehlssyntax für eine genauere Steuerung:
analyze-events -type:"item.view" -timeframe:"last 7 days" -user:"admin"detect-anomalies -dataset:"authentication" -baseline:"30 days"report-activity -vault:"Finance" -action:"create,delete,modify"
3. Workflowintegration
Schließen Sie die 1Password-Überwachungsanalyse als Teil größerer Sicherheitsworkflows ein:
- "Untersuchen Sie dieses Benutzerkonto, und suchen Sie nach ungewöhnlichen 1Password-Aktivitäten"
- "Analysieren von Anmeldemustern für unsere SSO-Anbieter, einschließlich 1Password"
- "Generieren eines Complianceberichts, der den gesamten Zugriff auf regulierte Daten in 1Password anzeigt"
Antwortformatierung
Das Plug-In formatiert Antworten, um klare Sicherheitserkenntnisse zu liefern:
- Ereigniszeitachsen: Chronologische Ansicht verwandter Sicherheitsereignisse
- Benutzeraktivitätsprofile: Aggregierte Ansicht des Benutzerverhaltens
- Anomaliehervorhebung: Eindeutige Identifizierung von Ausreißerereignissen
- Visual Analytics: Diagramme und Diagramme für die Mustererkennung
Erweiterte Nutzung
Untersuchung von Sicherheitsvorfällen
Das Plug-In ermöglicht eine erweiterte Untersuchung von Sicherheitsvorfällen im Zusammenhang mit der Verwendung von 1Password:
Beispiel für einen Untersuchungsworkflow
- Empfangen von Warnungen zu verdächtigem Zugriff auf einen vertraulichen Tresor
- Abfragen von 1Kennwort-Überwachungsprotokollen für alle Aktionen des gekennzeichneten Benutzers
- Analysieren von Zugriffsmustern und Vergleichen mit verlaufsbezogenen Baselines
- Korrelieren mit anderen Sicherheitstelemetriedaten (Netzwerkprotokolle, Endpunktdaten)
- Generieren umfassender incident-Zeitleiste und empfohlener Aktionen
Problembehandlung für das 1Password-Plug-In
Fehler treten auf
Wenn Fehler auftreten, z. B . Konnte Ihre Anforderung nicht abschließen oder Unbekannter Fehler aufgetreten. Stellen Sie sicher, dass Plug-In aktiviert ist. Dieser Fehler kann auftreten, wenn der Lookbackzeitraum zu lang ist, sodass die Abfrage versucht, eine übermäßige Datenmenge abzurufen. Wenn das Problem weiterhin besteht, melden Sie sich bei Copilot für Security ab, und melden Sie sich dann wieder an.
Probleme bei der Datenerfassung
| Problem | Mögliche Ursachen | Lösungsschritte |
|---|---|---|
| Fehlende Überwachungsdaten | Fehlkonfiguration des Connectors, Probleme mit der Erfassungspipeline | 1. Überprüfen Microsoft Sentinel Connector status 2. Überprüfen von 1Kennwort-Überwachungsprotokollierungseinstellungen 3. Überprüfen von Datenconnectorprotokollen 4. Überprüfen der Log Analytics-Agent-Funktionalität |
| Datenverzögerung | Erfassungslatenz, hohes Datenvolumen, Verarbeitungsengpässe | 1. Überprüfen der status der Erfassungspipeline 2. Überprüfen Microsoft Sentinel Integritätsmetriken 3. Optimieren von Datensammlungsregeln 4. Erwägen einer dedizierten Kapazität für kritische Daten |
Abfrageprobleme
| Problem | Mögliche Ursachen | Lösungsschritte |
|---|---|---|
| Abfragetimeout | Komplexe Abfragen, großes Datenvolumen, Ressourceneinschränkungen | 1. Optimieren der Abfragekomplexität 2. Hinzufügen geeigneter Filter 3. Verwenden der zeitbasierten Partitionierung 4. Materialisierte Ansichten berücksichtigen |
| Schemakonflikt | Benutzerdefinierte Feldzuordnungen, Schemaentwicklung, Parserfehler | 1. Überprüfen von Schemadefinitionen 2. Aktualisieren von Feldzuordnungen 3. Überprüfen auf Datenformatänderungen 4. Aktualisieren Von benutzerdefinierten Parsern bei Bedarf |
Plug-In-Zugriffsprobleme
| Feature | Häufige Probleme | Schritte zur Problembehandlung |
|---|---|---|
| Arbeitsbereichszugriff | Berechtigungsprobleme, falsch konfigurierte Arbeitsbereichs-ID | 1. Überprüfen der Zugriffsberechtigungen für Arbeitsbereiche 2. Überprüfen der arbeitsbereichsbasierten Verbindungszeichenfolge 3. Überprüfen sie Microsoft Copilot für die Sicherheitskonfiguration. 4. Überprüfen Microsoft Entra ID Berechtigungen |
| KQL-Funktionen | Fehler bei der Funktionsregistrierung, Syntaxfehler, Ausführungstimeout | 1. Überprüfen Der status der Funktionsregistrierung 2. Überprüfen der KQL-Syntax 3. Überprüfen von Funktionsberechtigungen 4. Optimieren der Funktionslogik |
Leistungsoptimierung
- Verwenden effizienter KQL-Muster und Vermeiden von Kreuzjoins für große Datasets
- Implementieren geeigneter Zeitfilter zum Einschränken der Datenverarbeitung
- Berücksichtigen materialisierter Sichten für häufig ausgeführte analytische Abfragen
- Überwachen der Abfrageleistung und Optimieren ressourcenintensiver Vorgänge
Prompts nicht die richtigen Funktionen aufrufen
Wenn Eingabeaufforderungen nicht die richtigen Funktionen aufrufen oder Eingabeaufforderungen einen anderen Funktionssatz aufrufen, verfügen Sie möglicherweise über benutzerdefinierte Plug-Ins oder andere Plug-Ins, die über ähnliche Funktionen wie der Funktionssatz verfügen, den Sie verwenden möchten.
Feedback geben
Wenden Sie sich an https://support.1password.com/, um Feedback zu geben.
Siehe auch
Andere Plug-Ins für Microsoft Copilot für SecurityVerwalten von Plug-Ins in Microsoft Copilot for Security