Dela via

1Password-anslutningsprogram (med Azure Functions) för Microsoft Sentinel

  • Artikel

Med 1Password-lösningen för Microsoft Sentinel kan du mata in inloggningsförsök, objektanvändning och granskningshändelser från ditt 1Password Business-konto med hjälp av API:et 1Password Events Reporting. På så sätt kan du övervaka och undersöka händelser i 1Password i Microsoft Sentinel tillsammans med andra program och tjänster som din organisation använder.

Underliggande Microsoft-tekniker som används:

Den här lösningen beror på följande tekniker, och vissa av dem kan vara i förhandsversionstillstånd eller kan medföra ytterligare inmatnings- eller driftskostnader:

Azure Functions

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslutningsattribut

Anslutningsattribut beskrivning
Log Analytics-tabeller OnePasswordEventLogs_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av 1Password

Exempel på frågor

De 10 främsta användarna

OnePasswordEventLogs_CL

| summarize count() by tostring(target_user.name) 

| top 10 by count_

Förutsättningar

Om du vill integrera med 1Password (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • API-token för 1Password-händelser: En API-token för 1Password-händelser krävs. Mer information om 1Password-API:et finns i dokumentationen.
  • Ett 1Password Business-konto krävs.

Installationsanvisningar för leverantör

Kommentar

Den här anslutningsappen använder Azure Functions för att ansluta till 1Password för att hämta loggar till Microsoft Sentinel. Detta kan resultera i ytterligare kostnader för datainmatning från Azure. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

STEG 1 – Konfigurationssteg för API:et för 1Password Events Reporting

Följ de här anvisningarna i 1Password för att hämta en API-token för händelserapportering. Ett 1Password Business-konto krävs.

STEG 2 – Distribuera funktionenApp med knappen DeployToAzure för att skapa tabellen, datainsamlingsregeln och den associerade Azure-funktionen

VIKTIGT! Innan du distribuerar 1Password-anslutningsappen måste en anpassad tabell skapas.

Alternativ 1 – Arm-mall (Azure Resource Manager)

Den här metoden tillhandahåller en automatiserad distribution av 1Password-anslutningsappen med hjälp av en ARM-mall.

  1. Klicka på knappen Distribuera till Azure nedan.

    Distribuera till Azure

  2. Välj önskad prenumeration, resursgrupp och plats.

  3. Ange arbetsytans namn, 1Password Events API-nyckel och URI.

    • Standardtidsintervallet är inställt på fem (5) minuter. Om du vill ändra intervallet kan du justera timerutlösaren för funktionsappen i enlighet med detta (i filen function.json, efter distributionen) för att förhindra överlappande datainmatning.
    • Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du@Microsoft.KeyVault(SecretUri={Security Identifier})schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser.

  4. Markera kryssrutan märkt Jag godkänner de villkor som anges ovan.

  5. Klicka på Köp för att distribuera.

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.