銀堡

Microsoft Security Copilot 的 Silverfort 外掛能無縫整合 Silverfort 先進的 CEF 資料於 Microsoft Sentinel 環境中，帶來身份保護洞察。 此外掛透過直覺的自然語言查詢與詳細洞察，賦能資安團隊提升威脅偵測與回應能力。

Silverfort 外掛利用基於 KQL 的查詢，從 Microsoft Sentinel 工作空間中的 Silverfort 安全日誌中擷取並分析資料。 使用者可利用多種輸入參數自訂查詢，取得目標資訊，促進更有效率的威脅調查與主動防禦措施。

注意事項

本文包含有關第三方外掛的資訊。 此功能旨在協助完成整合情境。 然而，Microsoft 並未提供第三方外掛的故障排除支援。 請聯絡第三方供應商尋求支援。

必要條件

要使用 Silverfort 外掛，您必須先透過監控代理Azure設定 CEF) 和 Syslog ( (AMA) 轉發，並依照以下指南進行轉發。 此外掛查詢 CommonSecurityLog 資料表中儲存在 Microsoft Sentinel 啟用的日誌分析工作空間中的資料。 欲了解更多資訊，請參閱 Ingest syslog and CEF messages to Microsoft Sentinel with the Azure 監視器 Agent。

設定好轉寄服務後，接下來可以：

• 指派一個公共 IP 位址
• 在網路設定中允許 Syslog 從 514 埠接收入站流量

你現在準備好在 Silverfort 架設 Syslog 伺服器，發送事件，並讓新設定的 AMA 將資訊轉發給 Microsoft Sentinel。

1. 在伺服器 IP 欄位輸入你的 AMA 轉發者的 IP 位址。

2. 進入港口區的514號端口。

3. 在協定欄位選擇 TCP 協定。

   

4. 確認欄位中除了 Splunk 應用程式外的所有資訊都已存在。

5. 選擇 「全部儲存」。

開始之前的須知事項

在使用外掛前，你需要先完成以下步驟。

1. 登入 Microsoft Security Copilot。

2. 從提示列選取 外掛程式 按鈕，存取 管理外掛程式。

3. 在 Silverfort 旁邊，選擇開關來啟用它。

   請提供下列資訊：

   • TenantId：Microsoft Entra ID 組織的 ID，該組織中 Microsoft Sentinel 工作空間所在的 ID。
   • WorkspaceName：Microsoft Sentinel 工作空間的名稱。
   • SubscriptionId：Microsoft Sentinel 工作空間所在的 Azure 訂閱的 ID。
   • ResourceGroupName：Microsoft Sentinel 工作空間所屬的資源群組名稱。

4. 儲存變更。

Silverfort 範例提示

在 Silverfort 外掛設定完成後，你可以透過以下步驟之一使用它：

• 可從提示欄選擇「 插件」按鈕 ，並選擇 Silverfort 來存取外掛功能。
• 請使用以下任一範例提示 Security Copilot。

下表列出可嘗試的範例提示：

功能	範例提示
查詢Silverfort資訊 查詢 Microsoft Sentinel 內有關 CEF 資料的資訊，依據時間、風險、指標、來源 IP、來源主機名稱等。	Provide a count of Silverfort risk requests that have the Silverfort policy name 'mypolicy' in the last week. How many Silverfort MFA subtype requests have there been in the last week that have an MFA response of 'Blocked'? How many requests in the last week have a Silverfort policy action of 'MFA'? Give me the top 10 Silverfort requests with Criticalrisk where the source username is "john.doe@something.com".
查詢SilverfortIncidents 所有與 Silverfort 相關的事件在指定期間內的查詢	Give me all Silverfort incidents in the last month. Give me all Silverfort incidents in the last week with status ongoing.

排除 Silverfort 外掛問題

錯誤時有發生

如果您遇到錯誤，例如 無法完成您的請求，或 發生未知錯誤 |確保外掛是開啟的。 若回查週期過長，可能導致查詢嘗試取得過多資料，導致此錯誤發生。 如果問題依舊，請登出 Security Copilot，然後再登入。

提示沒有呼叫正確的功能

如果提示詞沒有呼叫正確的功能，或是提示詞呼叫了其他能力集，你可能會有自訂外掛或其他外掛，這些外掛功能與你想用的能力集相似。

提供意見反應

如需回饋，請聯絡 Silverfort。

另請參閱

Microsoft Security Copilot 的非 Microsoft 外掛

管理 Microsoft Security Copilot 中的外掛