通过

1Password

重要

本文中的一些信息与预发布产品有关,在商业发布之前,该产品可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

注意

本文包含有关第三方插件的信息。 本指南旨在帮助完成集成方案。 但是,Microsoft不提供对第三方插件的故障排除支持。 请联系第三方供应商获取支持。

用于Microsoft Copilot安全的 1Password 插件利用Microsoft Sentinel收集的审核数据,为安全团队提供 1Password 使用情况、潜在安全事件和异常行为的见解。 此插件不会从 1Password 检索机密或凭据,而是分析审核日志和事件,以增强安全监视和事件响应功能。

先决条件

  • 1具有审核日志记录功能的Password Business 或 Enterprise 订阅。
  • Microsoft Sentinel Azure环境中部署和配置。
  • 1Password 事件报告集成设置为将审核日志发送到Microsoft Sentinel。
  • Microsoft Sentinel 1Password 数据连接器配置并主动引入 1Password 审核数据。
  • 对智能 Microsoft Security Copilot 副驾驶®的管理访问权限。
  • Security Copilot 中链接Microsoft Sentinel工作区。
  • 熟悉自定义查询Kusto 查询语言 (KQL) 。

在开始之前了解

与 智能 Microsoft Security Copilot 副驾驶® 集成的工作原理是连接到存储 1Password 事件的Microsoft Sentinel工作区。

在使用插件之前,需要执行以下步骤。

步骤 1:配置 1Password 审核日志记录

若要在 1Password 中启用审核日志记录,请遵循 事件报告文档 或完成以下步骤:

  1. 以所有者或管理员身份登录 1Password.com。
  2. 单击边栏中 的“集成 ”。
  3. 单击页面顶部的“ 目录 ”。
  4. 找到Microsoft Sentinel集成,然后选择“设置”。
  5. 输入集成 (的名称,例如“Microsoft Sentinel连接器”) 。
  6. 在以下原因之间选择:
    • 从所有保管库发送事件 以报告整个帐户的事件。
    • 选择保管库 以选择用于事件报告的特定保管库。
  7. 选择“ 添加集成”。
  8. 保存显示的持有者令牌 - 需要此令牌来配置Microsoft Sentinel连接器。
  9. 按照 1Password Sentinel 集成指南激活无服务器连接器。
  10. 配置相应的日志保留策略。
  11. 验证是否记录了用户活动、身份验证事件和管理员操作。

有关详细的配置选项和故障排除,请参阅 事件报告设置指南

步骤 2:为 1Password 设置Microsoft Sentinel连接器

  1. 访问Microsoft Sentinel工作区。
  2. 导航到“数据连接器”部分。
  3. 找到并选择 1Password 数据连接器。
  4. 按照配置向导连接到 1Password 环境。
  5. 验证审核日志是否已成功引入Microsoft Sentinel。

步骤 3:安装和配置插件

  1. 登录到 智能 Microsoft Security Copilot 副驾驶®
  2. 通过从提示栏中选择“源”按钮来访问“管理插件”。
  3. “1Password”旁边,选择“ 设置”。
  4. 上传 1Password 插件包或指定其存储库位置。
  5. 配置插件以连接到Microsoft Sentinel工作区。

配置指南

必需参数

配置以下参数,使插件正常运行:

  1. Microsoft Entra租户 ID

    • Microsoft Entra环境的唯一标识符
    • 格式: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

  2. 订阅 ID

    • Microsoft Sentinel Azure订阅的唯一标识符
    • 格式: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

  3. ResourceGroup 名称

    • 这是安全警察将用于 sentinel 的资源组名称。

  4. 工作区名称

    • 这是安全警察将用于 sentinel 的工作区名称。

配置方法

  1. 插件配置门户
    • 直接在安全插件接口Microsoft Copilot中配置设置
    • 指定工作区连接参数
    • 保存前测试连接

示例 1Password 提示

以下部分提供了尝试的示例提示。

1. 自然语言查询

使用对话语言分析 1Password 审核数据:

  • “显示过去一周 1Password 中所有失败的登录尝试”
  • “谁在营业时间外访问了 1Password 中的敏感保管库?”
  • “有人在上个月创建了新的共享保管库吗?

2. 结构化命令

若要进行更精确的控制,请使用结构化命令语法:

  • analyze-events -type:"item.view" -timeframe:"last 7 days" -user:"admin"
  • detect-anomalies -dataset:"authentication" -baseline:"30 days"
  • report-activity -vault:"Finance" -action:"create,delete,modify"

3. 工作流集成

将 1Password 审核分析作为大型安全工作流的一部分包括在内:

  • “调查此用户帐户并检查异常 1Password 活动”
  • “分析 SSO 提供程序(包括 1Password)的登录模式”
  • “生成合规性报告,其中显示了 1Password 中对受监管数据的所有访问”

响应格式

插件格式化响应以提供清晰的安全见解:

  • 事件时间线:相关安全事件的时间顺序视图
  • 用户活动配置文件:用户行为的聚合视图
  • 异常突出显示:清除离群值事件的标识
  • 可视化分析:用于模式识别的图表和图形

高级用法

安全事件调查

该插件支持对涉及 1Password 用法的安全事件进行高级调查:

示例调查工作流

  1. 接收有关可疑访问敏感保管库的警报
  2. 查询已标记用户的所有操作的 1Password 审核日志
  3. 分析访问模式并比较历史基线
  4. 与其他安全遥测 (网络日志、终结点数据) 相关联
  5. 生成全面的事件时间线和建议的操作

排查 1Password 插件问题

发生错误

如果遇到错误,例如 无法完成请求发生未知错误。 请确保 Wi-Fi 已打开。 如果回溯期过长,导致查询尝试检索过多的数据量,则可能会出现此错误。 如果问题仍然存在,请注销 Microsoft 安全 Copilot,然后重新登录。

数据引入问题

问题 可能的原因 解决步骤
缺少审核数据 连接器配置错误、引入管道问题 1.验证Microsoft Sentinel连接器状态
2. 检查 1Password 审核日志记录设置
3.查看数据连接器日志
4.验证 Log Analytics 代理功能
数据延迟 引入延迟、高数据量、处理瓶颈 1. 检查引入管道状态
2. 查看Microsoft Sentinel运行状况指标
3. 优化数据收集规则
4.考虑关键数据的专用容量

查询问题

问题 可能的原因 解决步骤
查询超时 复杂查询、大量数据、资源约束 1. 优化查询复杂性
2. 添加适当的筛选器
3. 使用基于时间的分区
4. 考虑具体化视图
架构不匹配 自定义字段映射、架构演变、分析器错误 1. 查看架构定义
2. 更新字段映射
3. 检查数据格式更改
4.根据需要更新自定义分析程序

插件访问问题

功能 常见问题 故障排除步骤
工作区访问 权限问题,工作区 ID 配置错误 1.验证工作区访问权限
2. 检查工作区连接字符串
3. 查看安全配置Microsoft Copilot
4.验证Microsoft Entra ID权限
KQL 函数 函数注册失败、语法错误、执行超时 1.检查函数注册状态
2.验证 KQL 语法
3. 查看函数权限
4. 优化函数逻辑

性能优化

  • 使用高效的 KQL 模式,避免在大型数据集上交叉联接
  • 实现适当的时间筛选器以限制数据处理
  • 对于频繁运行的分析查询,请考虑具体化视图
  • 监视查询性能并优化资源密集型操作

提示未调用正确的功能

如果提示未调用正确的功能,或者提示调用其他一些功能集,则可能具有与要使用的功能集类似的自定义插件或其他插件。

提供反馈

若要提供反馈,请联系 https://support.1password.com/

另请参阅

用于安全Microsoft Copilot的其他插件 管理Microsoft Copilot for Security 中的插件

  • Last updated on