Udostępnij za pośrednictwem


Łącznik 1Password (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel

Rozwiązanie 1Password dla usługi Microsoft Sentinel umożliwia pozyskiwanie prób logowania, użycia elementów i zdarzeń inspekcji z konta firmy 1Password przy użyciu interfejsu API raportowania zdarzeń 1Password. Umożliwia to monitorowanie i badanie zdarzeń w aplikacji 1Password w usłudze Microsoft Sentinel wraz z innymi aplikacjami i usługami używanymi przez organizację.

Używane podstawowe technologie firmy Microsoft:

To rozwiązanie zależy od następujących technologii, z których niektóre mogą być w stanie wersji zapoznawczej lub mogą spowodować dodatkowe pozyskiwanie lub koszty operacyjne:

Azure Functions

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics OnePasswordEventLogs_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez 1Password

Przykłady zapytań

10 pierwszych użytkowników

OnePasswordEventLogs_CL

| summarize count() by tostring(target_user.name) 

| top 10 by count_

Wymagania wstępne

Aby zintegrować aplikację 1Password (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik używa usługi Azure Functions do nawiązania połączenia z rozwiązaniem 1Password w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych z platformy Azure. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

KROK 1. Kroki konfiguracji interfejsu API raportowania zdarzeń 1Password

Postępuj zgodnie z tymi instrukcjami podanymi przez 1Password, aby uzyskać token interfejsu API raportowania zdarzeń. Wymagane jest konto 1Password Business.

KROK 2. Wdrażanie funkcjiApp przy użyciu przycisku DeployToAzure w celu utworzenia tabeli, reguły zbierania danych i skojarzonej funkcji platformy Azure

WAŻNE: Przed wdrożeniem łącznika 1Password należy utworzyć tabelę niestandardową.

Opcja 1 — szablon usługi Azure Resource Manager (ARM)

Ta metoda zapewnia automatyczne wdrożenie łącznika 1Password przy użyciu szablonu arm tempate.

  1. Kliknij przycisk Wdróż na platformie Azure poniżej.

    Wdróż na platformie Azure

  2. Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.

  3. Wprowadź nazwę obszaru roboczego, nazwę obszaru roboczego, klucz interfejsu API zdarzeń 1Password i identyfikator URI.

    • Domyślny interwał czasu jest ustawiony na pięć (5) minut. Jeśli chcesz zmodyfikować interwał, możesz odpowiednio dostosować wyzwalacz czasomierza aplikacji funkcji (w pliku function.json po wdrożeniu), aby zapobiec nakładające się pozyskiwaniu danych.
    • Jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
  4. Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.

  5. Kliknij pozycję Kup , aby wdrożyć.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.