Konektor 1Password (pomocí Azure Functions) pro Microsoft Sentinel
Řešení 1Password pro Microsoft Sentinel umožňuje ingestovat pokusy o přihlášení, využití položek a auditování událostí z vašeho účtu 1Password Business pomocí rozhraní API pro generování sestav událostí 1Password. To vám umožní monitorovat a zkoumat události v 1Password v Microsoft Sentinelu spolu s dalšími aplikacemi a službami, které vaše organizace používá.
Použité základní technologie Společnosti Microsoft:
Toto řešení závisí na následujících technologiích a některé z nich můžou být ve stavu Preview nebo můžou mít další náklady na příjem dat nebo provoz:
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | OnePasswordEventLogs_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | 1Password |
Ukázky dotazů
Prvních 10 uživatelů
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Požadavky
Pokud chcete provést integraci s 1Password (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Token rozhraní API události 1Password: Je vyžadován token rozhraní API události 1Password. Další informace o rozhraní 1Password API najdete v dokumentaci.
- Vyžaduje se účet 1Password Business.
Pokyny k instalaci dodavatele
Poznámka:
Tento konektor používá Azure Functions k připojení k 1Passwordu k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat z Azure. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
KROK 1 – Kroky konfigurace pro rozhraní API pro generování sestav událostí 1Password
Podle těchto pokynů 1Password získejte token rozhraní API pro generování sestav událostí. Vyžaduje se účet 1Password Business.
KROK 2: Nasazení aplikace functionApp pomocí tlačítka DeployToAzure k vytvoření tabulky, pravidla shromažďování dat a přidružené funkce Azure Functions
DŮLEŽITÉ: Před nasazením konektoru 1Password je potřeba vytvořit vlastní tabulku.
Možnost 1 – Šablona Azure Resource Manageru (ARM)
Tato metoda poskytuje automatizované nasazení konektoru 1Password pomocí tempate ARM.
Klikněte níže na tlačítko Nasadit do Azure .
Vyberte upřednostňované předplatné, skupinu prostředků a umístění.
Zadejte název pracovního prostoru, název pracovního prostoru, klíč rozhraní API události 1Password a identifikátor URI.
- Výchozí časový interval je nastavený na pět (5) minut. Pokud chcete upravit interval, můžete odpovídajícím způsobem upravit trigger časovače aplikace funkcí (v souboru function.json, po nasazení), aby se zabránilo překrývajícímu se příjmu dat.
- Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte
@Microsoft.KeyVault(SecretUri={Security Identifier})schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault.
Zaškrtněte políčko označené jako Souhlasím s podmínkami a ujednáními uvedenými výše.
Kliknutím na Koupit nasadíte.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.