1Password (使用 Azure Functions) 連接器Microsoft Sentinel
Microsoft Sentinel 的 1Password 解決方案可讓您使用 1Password 事件報告 API,從 1Password Business 帳戶擷取登入嘗試、專案使用量和稽核事件。 這可讓您監視和調查 1Password 中的事件,Microsoft Sentinel 以及組織所使用的其他應用程式和服務。
使用的基礎Microsoft技術:
此解決方案取決於下列技術,其中某些技術可能處於 預覽 狀態,或可能會產生額外的擷取或營運成本:
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
連接器屬性 | 描述 |
---|---|
記錄分析資料表 | OnePasswordEventLogs_CL |
資料收集規則支援 | 目前不支援 |
支援者: | 1Password |
查詢範例
前10位使用者
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
必要條件
若要與 1Password 整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/網站權限:需要 Azure Functions 的讀寫權限才能建立 Function App。 請參閱文件以深入了解 Azure Functions。
- 1Password 事件 API 令牌:需要 1Password 事件 API 令牌。 請參閱檔以深入瞭解 1Password API。
- 需要 1Password Business 帳戶。
廠商安裝指示
注意
此連接器會使用 Azure Functions 連線到 1Password,將記錄提取到 sentinel Microsoft。 這可能會導致來自 Azure 的其他數據擷取成本。 如需詳細資料,請參閱 Azure Functions 價格頁面。
(選擇性步驟) 將工作區和 API 授權金鑰或權杖安全地儲存在 Azure Key Vault 中。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。
步驟 1 - 1Password 事件報告 API 的設定步驟
請遵循 1Password 所提供的這些指示 來取得事件報告 API 令牌。 需要 1Password Business 帳戶。
步驟 2 - 使用 DeployToAzure 按鈕部署 functionApp,以建立數據表、數據收集規則和相關聯的 Azure 函式
重要事項: 部署 1Password 連接器之前,必須建立自定義數據表。
選項 1 - Azure Resource Manager (ARM) 範本
此方法會使用ARM Tempate提供1Password連接器的自動化部署。
按一下下方的 [部署至 Azure] 按鈕。
選取慣用 的訂用帳戶、 資源群組和 位置。
輸入工作區名稱、工作區名稱、1Password 事件 API 金鑰和 URI。
- 默認 的時間間隔 設定為五(5)分鐘。 如果您想要修改間隔,您可以據以調整函式應用程式定時器觸發程式(在function.json檔案中,部署后)以防止重疊的數據擷取。
- 如果針對上述任一值使用 Azure Key Vault 祕密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
結構描述來取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。
選取標示為 [我同意上方所述的條款及條件] 的核取方塊。
按一下 [購買] 以部署。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。