Freigeben über

1Password-Connector (mithilfe von Azure Functions) für Microsoft Sentinel

  • Artikel

Mit der 1Password-Lösung für Microsoft Sentinel können Sie Anmeldeversuche, Elementnutzung und Überwachungsereignisse aus Ihrem 1Password Business-Konto mithilfe der 1Password Events Reporting API erfassen. Auf diese Weise können Sie Ereignisse in 1Password in Microsoft Sentinel zusammen mit den anderen Anwendungen und Diensten überwachen und untersuchen, die Ihre Organisation verwendet.

Verwendete zugrunde liegenden Microsoft-Technologien:

Diese Lösung hängt von den folgenden Technologien ab, von denen sich einige in der Vorschau befinden oder zusätzliche Kosten für die Aufnahme oder Betriebskosten verursachen können:

Azure-Funktionen

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen OnePasswordEventLogs_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von 1Password

Abfragebeispiele

Top 10: Benutzer

OnePasswordEventLogs_CL

| summarize count() by tostring(target_user.name) 

| top 10 by count_

Voraussetzungen

Stellen Sie für die Integration in 1Password (mithilfe von Azure Functions) sicher, dass Sie folgendes haben:

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector stellt über Azure Functions eine Verbindung mit 1Password her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten aus Azure verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

SCHRITT 1: Konfigurationsschritte für die 1Password-Ereignisberichterstattungs-API

Befolgen Sie diese Anweisungen von 1Password, um ein Ereignisberichterstattungs-API-Token abzurufen. Ein 1Password Business-Konto ist erforderlich.

SCHRITT 2: Bereitstellen der FunctionApp mithilfe der Schaltfläche "DeployToAzure" zum Erstellen der Tabelle, Datensammlungsregel und der zugeordneten Azure-Funktion

WICHTIG: Vor der Bereitstellung des 1Password-Connectors muss eine benutzerdefinierte Tabelle erstellt werden.

Option 1: Azure Resource Manager-Vorlage (ARM)

Diese Methode stellt eine automatisierte Bereitstellung des 1Password-Connectors mithilfe einer ARM-Vorlage bereit.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Speicherort aus.

  3. Geben Sie den Arbeitsbereichsnamen, Arbeitsbereichsnamen, 1Password-Ereignis-API-Schlüssel und URI ein.

    • Das standardmäßige Zeitintervall ist auf fünf (5) Minuten festgelegt. Wenn Sie das Zeitintervall ändern möchten, können Sie den Timertrigger der Funktions-App entsprechend ändern (in der Datei „function.json“, nach der Bereitstellung), um Überschneidungen bei der Datenerfassung zu verhindern.
    • Wenn Sie für einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema @Microsoft.KeyVault(SecretUri={Security Identifier}) anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.

  4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  5. Klicken Sie zum Bereitstellen auf Kaufen.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.