1Password-Connector (mithilfe von Azure Functions) für Microsoft Sentinel
Mit der 1Password-Lösung für Microsoft Sentinel können Sie Anmeldeversuche, Elementnutzung und Überwachungsereignisse aus Ihrem 1Password Business-Konto mithilfe der 1Password Events Reporting API erfassen. Auf diese Weise können Sie Ereignisse in 1Password in Microsoft Sentinel zusammen mit den anderen Anwendungen und Diensten überwachen und untersuchen, die Ihre Organisation verwendet.
Verwendete zugrunde liegenden Microsoft-Technologien:
Diese Lösung hängt von den folgenden Technologien ab, von denen sich einige in der Vorschau befinden oder zusätzliche Kosten für die Aufnahme oder Betriebskosten verursachen können:
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
Connectorattribut | BESCHREIBUNG |
---|---|
Log Analytics-Tabellen | OnePasswordEventLogs_CL |
Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
Unterstützt von | 1Password |
Abfragebeispiele
Top 10: Benutzer
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Voraussetzungen
Stellen Sie für die Integration in 1Password (mithilfe von Azure Functions) sicher, dass Sie folgendes haben:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- 1Password-Ereignis-API-Token: Ein API-Token für 1Password-Ereignisse ist erforderlich. Weitere Informationen zur 1Password-API finden Sie in der Dokumentation.
- Ein 1Password Business-Konto ist erforderlich.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector stellt über Azure Functions eine Verbindung mit 1Password her, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten aus Azure verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1: Konfigurationsschritte für die 1Password-Ereignisberichterstattungs-API
Befolgen Sie diese Anweisungen von 1Password, um ein Ereignisberichterstattungs-API-Token abzurufen. Ein 1Password Business-Konto ist erforderlich.
SCHRITT 2: Bereitstellen der FunctionApp mithilfe der Schaltfläche "DeployToAzure" zum Erstellen der Tabelle, Datensammlungsregel und der zugeordneten Azure-Funktion
WICHTIG: Vor der Bereitstellung des 1Password-Connectors muss eine benutzerdefinierte Tabelle erstellt werden.
Option 1: Azure Resource Manager-Vorlage (ARM)
Diese Methode stellt eine automatisierte Bereitstellung des 1Password-Connectors mithilfe einer ARM-Vorlage bereit.
Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.
Wählen Sie das bevorzugte Abonnement, die Ressourcengruppe und den Speicherort aus.
Geben Sie Werte für Arbeitsbereichsname, 1Password-Ereignis-API-Schlüssel und URI ein.
- Das standardmäßige Zeitintervall ist auf fünf (5) Minuten festgelegt. Wenn Sie das Zeitintervall ändern möchten, können Sie den Timertrigger der Funktions-App entsprechend ändern (in der Datei „function.json“, nach der Bereitstellung), um Überschneidungen bei der Datenerfassung zu verhindern.
- Wenn Sie für einem der oben genannten Werte Azure Key Vault-Geheimnisse angegeben haben, verwenden Sie das Schema
@Microsoft.KeyVault(SecretUri={Security Identifier})
anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Azure Key Vault.
Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.
Klicken Sie zum Bereitstellen auf Kaufen.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.