Łącznik 1Password (przy użyciu usługi Azure Functions) dla usługi Microsoft Sentinel
Rozwiązanie 1Password dla usługi Microsoft Sentinel umożliwia pozyskiwanie prób logowania, użycia elementów i zdarzeń inspekcji z konta firmy 1Password przy użyciu interfejsu API raportowania zdarzeń 1Password. Umożliwia to monitorowanie i badanie zdarzeń w aplikacji 1Password w usłudze Microsoft Sentinel wraz z innymi aplikacjami i usługami używanymi przez organizację.
Używane podstawowe technologie firmy Microsoft:
To rozwiązanie zależy od następujących technologii, z których niektóre mogą być w stanie wersji zapoznawczej lub mogą spowodować dodatkowe pozyskiwanie lub koszty operacyjne:
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | OnePasswordEventLogs_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | 1Password |
Przykłady zapytań
10 pierwszych użytkowników
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Wymagania wstępne
Aby zintegrować aplikację 1Password (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- 1 Token interfejsu API zdarzeń elementu Password: token interfejsu API zdarzeń 1Password jest wymagany. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API 1Password.
- Wymagane jest konto 1Password Business.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik używa usługi Azure Functions do nawiązania połączenia z rozwiązaniem 1Password w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych z platformy Azure. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
KROK 1. Kroki konfiguracji interfejsu API raportowania zdarzeń 1Password
Postępuj zgodnie z tymi instrukcjami podanymi przez 1Password, aby uzyskać token interfejsu API raportowania zdarzeń. Wymagane jest konto 1Password Business.
KROK 2. Wdrażanie funkcjiApp przy użyciu przycisku DeployToAzure w celu utworzenia tabeli, reguły zbierania danych i skojarzonej funkcji platformy Azure
WAŻNE: Przed wdrożeniem łącznika 1Password należy utworzyć tabelę niestandardową.
Opcja 1 — szablon usługi Azure Resource Manager (ARM)
Ta metoda zapewnia automatyczne wdrożenie łącznika 1Password przy użyciu szablonu arm tempate.
Kliknij przycisk Wdróż na platformie Azure poniżej.
Wybierz preferowaną subskrypcję, grupę zasobów i lokalizację.
Wprowadź nazwę obszaru roboczego, nazwę obszaru roboczego, klucz interfejsu API zdarzeń 1Password i identyfikator URI.
- Domyślny interwał czasu jest ustawiony na pięć (5) minut. Jeśli chcesz zmodyfikować interwał, możesz odpowiednio dostosować wyzwalacz czasomierza aplikacji funkcji (w pliku function.json po wdrożeniu), aby zapobiec nakładające się pozyskiwaniu danych.
- Jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj
@Microsoft.KeyVault(SecretUri={Security Identifier})schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
Zaznacz pole wyboru oznaczone etykietą Zgadzam się na powyższe warunki i postanowienia.
Kliknij pozycję Kup , aby wdrożyć.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.