Microsoft Sentinel 用 1Password (Azure Functions を使用) コネクタ
Microsoft Sentinel 用の 1Password ソリューションでは、1Password Events Reporting API を使用して 1Password Business アカウントから、サインインの試行、アイテムの使用状況、監査イベントに関する情報を取り込むことができます。 これにより、組織が使用する他のアプリケーションやサービスと共に、Microsoft Sentinel の 1Password におけるイベントを監視および調査できます。
使用される基盤となる Microsoft テクノロジ:
このソリューションは、次のテクノロジに依存しており、その一部がプレビュー段階にあったり、追加のインジェストまたは運用コストが発生したりする可能性があります。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | OnePasswordEventLogs_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | 1Password |
クエリのサンプル
上位 10 人のユーザー
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
前提条件
1Password (Azure Functions を使用) と統合する場合は、次のものがあることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- 1Password Events API トークン: 1Password Events API トークンが必要です。 詳細については、1Password API のドキュメントを参照してください。
- 1Password Business アカウントが必要です。
ベンダーのインストール手順
Note
このコネクタは Azure Functions を使って 1Password に接続し、ログを Microsoft Sentinel にプルします。 これにより、Azure で追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
手順 1 - 1Password Events Reporting API の構成手順
1Password が提供しているこれらの手順に従って Events Reporting API トークンを取得します。 1Password Business アカウントが必要です。
手順 2 - DeployToAzure ボタンを使用して functionApp をデプロイし、テーブル、データ収集ルール、および関連付けられている Azure 関数を作成する
重要: 1Password コネクタをデプロイする前に、カスタム テーブルを作成しておく必要があります。
オプション 1 - Azure Resource Manager (ARM) テンプレート
この方法により、ARM Tempate を使った 1Password コネクタの自動デプロイが可能になります。
下の [Azure へのデプロイ] ボタンをクリックします。
ご希望のサブスクリプション、リソース グループ、場所を選択します。
ワークスペース名、ワークスペース名、1Password Events API Key、URI を入力します。
- 既定の時間間隔は 5 秒に設定されています。 この間隔を変更したい場合は、データ インジェストの重複を防ぐために、(function.json ファイルのデプロイ後に) 関数アプリ タイマー トリガーを適宜変更することができます。
- 上記のいずれかの値に対して Azure Key Vault シークレットを使う場合は、文字列値ではなく
@Microsoft.KeyVault(SecretUri={Security Identifier})スキーマを使います。 詳細については、Key Vault のリファレンス ドキュメントを参照してください。
[上記の使用条件に同意する] というラベルのチェックボックスをオンにします。
[購入] をクリックしてデプロイします。
次の手順
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。