Partage via

Connecteur 1Password (avec Azure Functions) pour Microsoft Sentinel

  • Article

La solution 1Password pour Microsoft Sentinel vous permet d’ingérer des tentatives de connexion, une utilisation des éléments et des événements d’audit à partir de votre compte professionnel 1Password à l’aide de l’API de création de rapports d’événements 1Password. Cela vous permet de surveiller et d’examiner les événements dans 1Password dans Microsoft Sentinel, ainsi que les autres applications et services que votre organisation utilise.

Technologies sous-jacentes Microsoft utilisées :

Cette solution dépend des technologies suivantes, dont certaines peuvent être en Préversion ou peuvent entraîner des coûts supplémentaires d’ingestion ou d’exploitation :

Azure Functions

Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.

Attributs du connecteur

Attribut du connecteur Description
Table(s) Log Analytics OnePasswordEventLogs_CL
Prise en charge des règles de collecte de données Non prise en charge pour le moment
Pris en charge par 1Password

Exemples de requête

Top 10 des utilisateurs

OnePasswordEventLogs_CL

| summarize count() by tostring(target_user.name) 

| top 10 by count_

Prérequis

Pour intégrer 1Password (avec Azure Functions), assurez-vous de la présence des éléments suivants :

Instructions d’installation du fournisseur

Remarque

Ce connecteur utilise Azure Functions pour se connecter à 1Password et ainsi extraire les journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données à partir d’Azure. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.

(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.

ÉTAPE 1 : étapes de configuration de l’API de reporting d’événements 1Password

Suivez ces instructions fournies par 1Password pour obtenir un jeton d’API de reporting d’événements. Un compte professionnel 1Password est requis.

ÉTAPE 2 : déployer l’application de fonction à l’aide du bouton DeployToAzure pour créer la table, la règle de collecte de données et la fonction Azure associée

IMPORTANT : avant de déployer le connecteur 1Password, une table personnalisée doit être créée.

Option 1 – Modèle Azure Resource Manager (ARM)

Cette méthode fournit un déploiement automatisé du connecteur 1Password à l’aide d’un modèle ARM.

  1. Cliquez sur le bouton Déployer sur Azure ci-dessous.

    Déployer sur Azure

  2. Sélectionnez l’abonnement, le groupe de ressources et l’emplacement de votre choix.

  3. Entrez le nom de l’espace de travail, le nom de l’espace de travail, la clé API d’événements 1Password et l’URI.

    • L’intervalle de temps par défaut est défini sur cinq (5) minutes. Si vous souhaitez modifier l’intervalle, vous pouvez ajuster le déclencheur du minuteur de l’application de fonction en conséquence (dans le fichier function.json, après le déploiement) pour empêcher l’ingestion des données qui se chevauchent.
    • Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.

  4. Cochez la case J’accepte les termes et conditions mentionnés ci-dessus.

  5. Cliquez sur Acheter pour déployer.

Étapes suivantes

Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.