다음을 통해 공유

Microsoft Sentinel용 1Password(Azure Functions 사용) 커넥터

  • 아티클

Microsoft Sentinel용 1Password 솔루션을 사용하면 1Password 이벤트 보고 API를 사용하여 1Password Business 계정에서 로그인 시도, 항목 사용 및 감사 이벤트를 수집할 수 있습니다. 이렇게 하면 조직에서 사용하는 다른 애플리케이션 및 서비스와 함께 Microsoft Sentinel의 1Password에서 이벤트를 모니터링하고 조사할 수 있습니다.

사용된 기본 Microsoft 기술:

이 솔루션은 다음 기술에 따라 달라지며, 그 중 일부는 미리 보기 상태이거나 추가 수집 또는 운영 비용이 발생할 수 있습니다.

Azure Functions

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 OnePasswordEventLogs_CL
데이터 수집 규칙 지원 현재 지원되지 않음
지원 공급자 1Password

쿼리 샘플

상위 10명의 사용자

OnePasswordEventLogs_CL

| summarize count() by tostring(target_user.name) 

| top 10 by count_

필수 조건

1Password와 통합하려면(Azure Functions 사용) 다음이 있는지 확인합니다.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 1Password에 연결하여 Microsoft Sentinel로 로그를 가져옵니다. 이로 인해 Azure에서 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.

1단계 - 1Password 이벤트 보고 API에 대한 구성 단계

1Password에서 제공하는 다음 지침 에 따라 이벤트 보고 API 토큰을 가져옵니다. 1Password Business 계정이 필요합니다.

2단계 - DeployToAzure 단추를 사용하여 functionApp을 배포하여 테이블, 데이터 수집 규칙 및 연결된 Azure Function을 만듭니다.

중요: 1Password 커넥터를 배포하기 전에 사용자 지정 테이블을 만들어야 합니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

이 메서드는 ARM Tempate를 사용하여 1Password 커넥터의 자동화된 배포를 제공합니다.

  1. 아래에서 Azure에 배포 단추를 클릭합니다.

    Azure에 배포

  2. 기본 구독, 리소스 그룹위치를 선택합니다.

  3. 작업 영역 이름, 작업 영역 이름, 1Password 이벤트 API 키URI를 입력합니다.

    • 기본 시간 간격 은 5분으로 설정됩니다. 간격을 수정하려는 경우 함수 앱 타이머 트리거를 적절하게 조정하여(배포 후 function.json 파일에서) 겹치는 데이터 수집을 방지할 수 있습니다.
    • 위 값에 대해 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 @Microsoft.KeyVault(SecretUri={Security Identifier}) 스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요.

  4. 위에 명시된 사용 약관에 동의합니다 확인란을 선택합니다.

  5. 구매를 클릭하여 배포합니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.