你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 1Password(使用 Azure Functions)连接器

借助适用于 Microsoft Sentinel 的 1Password 解决方案,你可以使用 1Password 事件报告 API 从 1Password Business 帐户引入登录尝试、项使用情况和审核事件。 这样,就可以监视和调查 Microsoft Sentinel 中的 1Password 事件以及组织使用的其他应用程序和服务。

使用的基础 Microsoft技术:

此解决方案依赖于以下技术,其中一些技术可能处于预览状态,或者可能会产生额外的引入或运营成本:

Azure Functions

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Log Analytics 表 OnePasswordEventLogs_CL
数据收集规则支持 目前不支持
支持的服务 1Password

查询示例

前 10 位用户

OnePasswordEventLogs_CL

| summarize count() by tostring(target_user.name) 

| top 10 by count_

先决条件

若要与 1Password(使用 Azure Functions)集成,请确保具有:

供应商安装说明

注意

此连接器将使用 Azure Functions 连接到 1Password,以将日志拉取到 Microsoft Sentinel。 这可能会导致 Azure 产生额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

步骤 1 - 1Password 事件报告 API 的配置步骤

按照 1Password 提供的这些说明获取事件报告 API 令牌。 需要 1Password Business 帐户。

步骤 2 - 使用 DeployToAzure 按钮部署 functionApp,以创建表、数据收集规则和关联的 Azure 函数

重要提示:在部署 1Password 连接器之前,需要创建自定义表。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法可通过 ARM 模板自动部署 1Password 连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”

  3. 在“工作区名称”、“1Password 事件 API 密钥”和“URI”中输入相应内容。

    • 默认时间间隔设置为五 (5) 秒。 如果需要修改时间间隔,可以相应地调整函数应用计时器触发器(部署后在 function.json 文件中),以防数据引入重叠。
    • 如果针对以上任何值使用 Azure Key Vault 机密,请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来取代字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  4. 选中“我同意上述条款和条件”复选框。

  5. 单击“购买”进行部署。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案