1Password (uso del connettore Funzioni di Azure) per Microsoft Sentinel
La soluzione 1Password per Microsoft Sentinel consente di inserire tentativi di accesso, utilizzo degli elementi ed eventi di controllo dall'account 1Password Business usando l'API 1Password Events Reporting. In questo modo è possibile monitorare e analizzare gli eventi in 1Password in Microsoft Sentinel insieme ad altre applicazioni e servizi usati dall'organizzazione.
Tecnologie Microsoft sottostanti usate:
Questa soluzione dipende dalle tecnologie seguenti e alcune delle quali possono essere in stato di anteprima o potrebbero comportare costi operativi o di inserimento aggiuntivi:
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | OnePasswordEventLogs_CL |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | 1Password |
Esempi di query
Primi 10 utenti
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Prerequisiti
Per eseguire l'integrazione con 1Password (usando Funzioni di Azure) assicurarsi di avere:
- autorizzazioni Microsoft.Web/siti: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure al fine di creare un'app per le funzioni. Vedere la documentazione per altre informazioni su Funzioni di Azure.
- 1 Token API eventiPassword: è necessario un token API eventi 1Password. Per altre informazioni sull'API 1Password, vedere la documentazione.
- È necessario un account 1Password Business.
Istruzioni per l’installazione di Vendor
Nota
Questo connettore usa Funzioni di Azure per connettersi a 1Password per eseguire il pull dei log in Microsoft Sentinel. Questo potrebbe comportare costi aggiuntivi per l'inserimento dei dati da Azure. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.
(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.
PASSAGGIO 1 - Passaggi di configurazione per l'API segnalazione eventi 1Password
Seguire queste istruzioni fornite da 1Password per ottenere un token API di creazione report eventi. È necessario un account 1Password Business.
PASSAGGIO 2: Distribuire functionApp usando il pulsante DeployToAzure per creare la tabella, la regola di raccolta dati e la funzione di Azure associata
IMPORTANTE: prima di distribuire il connettore 1Password, è necessario creare una tabella personalizzata.
Opzione 1 - Modello di Azure Resource Manager (ARM)
Questo metodo fornisce una distribuzione automatica del connettore 1Password usando un tempate arm.
Fare clic sul pulsante Distribuisci in Azure sotto.
Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.
Immettere il nome dell'area di lavoro, il nome dell'area di lavoro, la chiave API degli eventi 1Password e l'URI.
- L'intervallo di tempo predefinito è impostato su cinque (5) minuti. Se si vuole modificare l'intervallo, è possibile modificare il trigger timer dell'app per le funzioni di conseguenza (nel file di function.json post-distribuzione) per impedire l'inserimento di dati sovrapposto.
- Se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo
@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.
Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.
Fare clic su Acquista per effettuare la distribuzione.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.