Соединитель 1Password (с помощью Функции Azure) для Microsoft Sentinel
Решение 1Password для Microsoft Sentinel позволяет выполнять прием попыток входа, использования элементов и аудита из учетной записи 1Password Business с помощью API отчетов 1Password Events. Это позволяет отслеживать и исследовать события в 1Password в Microsoft Sentinel вместе с другими приложениями и службами, которые использует ваша организация.
Используемые базовые технологии Майкрософт:
Это решение зависит от следующих технологий, и некоторые из которых могут находиться в состоянии предварительной версии или могут привести к дополнительным приемам или операционным затратам:
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | OnePasswordEventLogs_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | 1Password |
Примеры запросов
Лучшие 10 пользователей
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Необходимые компоненты
Чтобы интегрироваться с 1Password (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Маркер API событий 1Password: требуется маркер API событий 1Password. Дополнительные сведения об API 1Password см. в документации.
- Требуется учетная запись 1Password Business.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к 1Password для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных из Azure. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке для API отчетов о событиях 1Password
Следуйте этим инструкциям , предоставленным 1Password, чтобы получить маркер API отчетов о событиях. Требуется учетная запись 1Password Business.
ШАГ 2. Развертывание functionApp с помощью кнопки DeployToAzure для создания таблицы, правила сбора данных и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя 1Password необходимо создать пользовательскую таблицу.
Вариант 1. Шаблон Azure Resource Manager (ARM)
Этот метод обеспечивает автоматическое развертывание соединителя 1Password с помощью tempate ARM.
Нажмите кнопку Deploy to Azure (Развернуть в Azure) ниже.
Выберите предпочтительную подписку, группу ресурсов и расположение.
Введите имя рабочей области, имя рабочей области, ключ API событий 1Password и URI.
- Интервал времени по умолчанию — пять (5) минут. Если вы хотите изменить интервал, можно соответствующим образом настроить триггер таймера приложения-функции (в файле function.json после развертывания), чтобы предотвратить перекрытие приема данных.
- При использовании секретов Azure Key Vault для любого из указанных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
Пометьте флажок, помеченный как я согласен с условиями, указанными выше.
Нажмите кнопку " Купить" , чтобы развернуть.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.