1Password (az Azure Functions használatával) összekötő a Microsoft Sentinelhez
A Microsoft Sentinel 1Password megoldása lehetővé teszi a bejelentkezési kísérletek, az elemhasználat és az események naplózását az 1Password Business-fiókból a 1Password Events Reporting API használatával. Ez lehetővé teszi az események figyelését és vizsgálatát a Microsoft Sentinel 1Password szolgáltatásában, valamint a szervezet által használt egyéb alkalmazásokkal és szolgáltatásokkal együtt.
Az alapul szolgáló Microsoft-technológiák:
Ez a megoldás a következő technológiáktól függ, és amelyek némelyike előzetes verziójú, vagy további betöltési vagy üzemeltetési költségekkel járhat:
Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.
Összekötő attribútumai
| Összekötő attribútum | Leírás |
|---|---|
| Log Analytics-tábla(ok) | OnePasswordEventLogs_CL |
| Adatgyűjtési szabályok támogatása | Jelenleg nem támogatott |
| Támogatja: | 1Password |
Példák lekérdezésekre
A 10 legjobb felhasználó
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Előfeltételek
Az 1Passwordrel való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:
- Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
- 1Password Events API-jogkivonat: 1Password Events API-jogkivonat szükséges. Az 1Password API-val kapcsolatos további információkért tekintse meg a dokumentációt.
- 1Password Business-fiók szükséges.
Szállító telepítési útmutatója
Feljegyzés
Ez az összekötő az Azure Functions használatával csatlakozik az 1Password-hez a naplók Microsoft Sentinelbe való lekéréséhez. Ez további adatbetöltési költségeket eredményezhet az Azure-ból. A részletekért tekintse meg az Azure Functions díjszabási oldalát .
(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
1. LÉPÉS – A 1Password Events Reporting API konfigurációs lépései
Kövesse az 1Password által megadott utasításokat egy Event Reporting API-jogkivonat beszerzéséhez. 1Password Business-fiók szükséges.
2. LÉPÉS – A functionApp üzembe helyezése a DeployToAzure gombbal a tábla, az adatgyűjtési szabály és a kapcsolódó Azure-függvény létrehozásához
FONTOS: Az 1Password-összekötő üzembe helyezése előtt létre kell hozni egy egyéni táblát.
1. lehetőség – Azure Resource Manager-sablon (ARM)
Ez a módszer az 1Password-összekötő automatikus üzembe helyezését biztosítja ARM Tempate használatával.
Kattintson az alábbi Üzembe helyezés az Azure-ban gombra.
Válassza ki az előnyben részesített előfizetést, erőforráscsoportot és helyet.
Adja meg a munkaterület nevét, a munkaterület nevét, az 1Password Events API-kulcsot és az URI-t.
- Az alapértelmezett időintervallum öt (5) percre van beállítva. Ha módosítani szeretné az időközt, ennek megfelelően módosíthatja a függvényalkalmazás időzítő eseményindítóját (a function.json fájlban, az üzembe helyezés után), hogy megakadályozza az átfedésben lévő adatbetöltést.
- Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, használja a sztringértékek
@Microsoft.KeyVault(SecretUri={Security Identifier})helyett a sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját .
Jelölje be a megjelölt jelölőnégyzetet , és elfogadom a fent leírt feltételeket.
Kattintson a Vásárlás gombra az üzembe helyezéshez.
Következő lépések
További információ: a kapcsolódó megoldás az Azure Marketplace-en.