1Password-connector (met behulp van Azure Functions) voor Microsoft Sentinel
Met de oplossing 1Password voor Microsoft Sentinel kunt u aanmeldingspogingen, itemgebruik en controlegebeurtenissen opnemen vanuit uw 1Password Business-account met behulp van de 1Password Events Reporting-API. Hiermee kunt u gebeurtenissen in 1Password in Microsoft Sentinel bewaken en onderzoeken, samen met de andere toepassingen en services die uw organisatie gebruikt.
Onderliggende Microsoft-technologieën die worden gebruikt:
Deze oplossing is afhankelijk van de volgende technologieën en sommige hiervan hebben mogelijk de preview-status of kunnen extra opname- of operationele kosten in rekening worden gebracht:
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | OnePasswordEventLogs_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | 1Password |
Voorbeelden van query's
Top 10 gebruikers
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Vereisten
Als u wilt integreren met 1Password (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- 1Password Events API-token: er is een API-token voor 1Password-gebeurtenissen vereist. Zie de documentatie voor meer informatie over de 1Password-API.
- Er is een 1Password Business-account vereist.
Installatie-instructies van leverancier
Notitie
Deze connector maakt gebruik van Azure Functions om verbinding te maken met 1Password om logboeken naar Microsoft Sentinel te halen. Dit kan leiden tot extra kosten voor gegevensopname van Azure. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
STAP 1: configuratiestappen voor de rapportage-API voor 1Password-gebeurtenissen
Volg deze instructies van 1Password om een Api-token voor gebeurtenissenrapportage te verkrijgen. Er is een 1Password Business-account vereist.
STAP 2: Implementeer de functionApp met behulp van de knop DeployToAzure om de tabel, de regel voor gegevensverzameling en de bijbehorende Azure-functie te maken
BELANGRIJK: Voordat u de 1Password-connector implementeert, moet er een aangepaste tabel worden gemaakt.
Optie 1: ARM-sjabloon (Azure Resource Manager)
Deze methode biedt een geautomatiseerde implementatie van de 1Password-connector met behulp van een ARM-tempate.
Klik op de knop Implementeren in Azure hieronder.
Selecteer het voorkeursabonnement, de resourcegroep en de locatie.
Voer de werkruimtenaam, werkruimtenaam, API-sleutel voor 1Password-gebeurtenissen en URI in.
- Het standaardtijdinterval is ingesteld op vijf (5) minuten. Als u het interval wilt wijzigen, kunt u de timertrigger van de functie-app dienovereenkomstig aanpassen (in het function.json bestand, na de implementatie) om overlappende gegevensopname te voorkomen.
- Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie.
Markeer het selectievakje met het label Ik ga akkoord met de bovenstaande voorwaarden.
Klik op Kopen om te implementeren.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.