1Password (uso del conector de Azure Functions) para Microsoft Sentinel
La solución 1Password para Microsoft Sentinel le permite ingerir intentos de inicio de sesión, uso de elementos y eventos de auditoría de la cuenta empresarial de 1Password mediante la API de informes de eventos de 1Password. Esto le permite supervisar e investigar eventos en 1Password en Microsoft Sentinel junto con las demás aplicaciones y servicios que usa su organización.
Tecnologías subyacentes de Microsoft usadas:
Esta solución depende de las siguientes tecnologías y algunas de las cuales pueden estar en estado de Versión preliminar o pueden incurrir en costos operativos o de ingesta adicionales:
Este contenido se genera automáticamente. Para los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | OnePasswordEventLogs_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | 1Password |
Ejemplos de consultas
Los 10 usuarios principales
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Requisitos previos
Para integrar con 1Password (mediante Azure Functions), asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para más información sobre Azure Functions.
- Token de API de eventos de 1Password: se requiere un token de API de eventos de 1Password. Consulte la documentación para obtener más información sobre la API de 1Password.
- Se requiere una cuenta empresarial de 1Password.
Instrucciones de instalación del proveedor
Nota:
Este conector usa Azure Functions para conectarse a 1Password para extraer registros en Microsoft Sentinel. Esto podría dar lugar a costos adicionales de ingesta de datos de Azure. Consulte la página de precios de Azure Functions para obtener más información.
(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.
PASO 1: pasos de configuración para la API de informes de eventos de 1Password
Siga estas instrucciones proporcionadas por 1Password para obtener un token de API de informes de eventos. Se requiere una cuenta empresarial de 1Password.
PASO 2: implementación de functionApp mediante el botón DeployToAzure para crear la tabla, la regla de recolección de datos y la función de Azure asociada
IMPORTANTE: Antes de implementar el conector de 1Password, debe crearse una tabla personalizada.
Opción 1: Plantilla de Azure Resource Manager (ARM)
Este método proporciona una implementación automatizada del conector de 1Password mediante una instancia de ARM Tempate.
Haga clic en el botón Implementar en Azure que aparece a continuación.
Seleccione la Suscripción preferida, Grupo de recursos y Ubicación.
Escriba el Nombre del área de trabajo, clave de API de eventos 1Password y URI.
- El valor predeterminado Intervalo de tiempo se establece en cinco (5) minutos. Si desea modificar el intervalo, puede ajustar el desencadenador de temporizador de aplicación de funciones en consecuencia (en el archivo function.json, después de la implementación) para evitar la ingesta de datos superpuesta.
- Si usa secretos de Azure Key Vault para cualquiera de los valores anteriores, utilice el esquema
@Microsoft.KeyVault(SecretUri={Security Identifier})en lugar de los valores de cadena. Consulte la documentación de Key Vault para información más detallada.
Marque la casilla de verificación Acepto los términos y condiciones establecidos anteriormente.
Haga clic en Comprar para implementar.
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.