你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 1Password(使用 Azure Functions)连接器
借助适用于 Microsoft Sentinel 的 1Password 解决方案,你可以使用 1Password 事件报告 API 从 1Password Business 帐户引入登录尝试、项使用情况和审核事件。 这样,就可以监视和调查 Microsoft Sentinel 中的 1Password 事件以及组织使用的其他应用程序和服务。
使用的基础 Microsoft技术:
此解决方案依赖于以下技术,其中一些技术可能处于预览状态,或者可能会产生额外的引入或运营成本:
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | OnePasswordEventLogs_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | 1Password |
查询示例
前 10 位用户
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
先决条件
若要与 1Password(使用 Azure Functions)集成,请确保具有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- 1Password 事件 API 令牌:需要 1Password 事件 API 令牌。 请参阅文档以详细了解 1Password API。
- 需要 1Password Business 帐户。
供应商安装说明
注意
此连接器将使用 Azure Functions 连接到 1Password,以将日志拉取到 Microsoft Sentinel。 这可能会导致 Azure 产生额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - 1Password 事件报告 API 的配置步骤
请按照 1Password 提供的这些说明获取事件报告 API 令牌。 需要 1Password Business 帐户。
步骤 2 - 使用 DeployToAzure 按钮部署 functionApp,以创建表、数据收集规则和关联的 Azure 函数
重要提示:在部署 1Password 连接器之前,需要创建自定义表。
选项 1 - Azure 资源管理器 (ARM) 模板
此方法将使用 ARM 模板自动部署 1Password 连接器。
单击下面的“部署到 Azure” 按钮。
选择首选的“订阅”、“资源组”和“位置”。
在“工作区名称”、“1Password 事件 API 密钥”和“URI”中输入相应内容。
- 默认时间间隔设置为五 (5) 秒。 如果需要修改时间间隔,可以相应地调整函数应用计时器触发器(部署后在 function.json 文件中),以防数据引入重叠。
- 如果针对以上任何值使用 Azure Key Vault 机密,请使用
@Microsoft.KeyVault(SecretUri={Security Identifier})架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。
选中“我同意上述条款和条件”复选框。
单击“购买”进行部署。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。