Konektor 1Password (menggunakan Azure Functions) untuk Microsoft Sentinel
Solusi 1Password untuk Microsoft Sentinel memungkinkan Anda menyerap upaya masuk, penggunaan item, dan peristiwa audit dari akun 1Password Business Anda menggunakan 1Password Events Reporting API. Ini memungkinkan Anda untuk memantau dan menyelidiki peristiwa di 1Password di Microsoft Sentinel bersama dengan aplikasi dan layanan lain yang digunakan organisasi Anda.
Teknologi Microsoft yang mendasar yang digunakan:
Solusi ini tergantung pada teknologi berikut, dan beberapa di antaranya mungkin dalam status Pratinjau atau mungkin dikenakan biaya penyerapan atau operasional tambahan:
Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.
Atribut konektor
| Atribut konektor | Deskripsi |
|---|---|
| Tabel Log Analytics | OnePasswordEventLogs_CL |
| Dukungan aturan pengumpulan data | Saat ini tidak didukung |
| Didukung oleh | 1Kata Sandi |
Kueri sampel
10 Pengguna Teratas
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Prasyarat
Untuk berintegrasi dengan 1Password (menggunakan Azure Functions) pastikan Anda memiliki:
- Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
- 1 Token API PeristiwaPassword: Token API Peristiwa 1Password diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang API 1Password.
- Akun 1Password Business diperlukan.
Instruksi penginstalan vendor
Catatan
Konektor ini menggunakan Azure Functions untuk menyambungkan ke 1Password untuk menarik log ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan dari Azure. Periksa halaman Harga Azure Functions untuk detailnya.
(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.
LANGKAH 1 - Langkah konfigurasi untuk API Pelaporan Peristiwa 1Password
Ikuti instruksi ini yang disediakan oleh 1Password untuk mendapatkan Token API Pelaporan Peristiwa. Akun 1Password Business diperlukan.
LANGKAH 2 - Sebarkan functionApp menggunakan tombol DeployToAzure untuk membuat tabel, aturan pengumpulan data, dan Fungsi Azure terkait
PENTING: Sebelum menyebarkan konektor 1Password, tabel kustom perlu dibuat.
Opsi 1 - Templat Azure Resource Manager (ARM)
Metode ini menyediakan penyebaran otomatis konektor 1Password menggunakan Templat ARM.
Klik tombol Sebarkan ke Azure di bawah ini.
Pilih Langganan, Grup Sumber Daya, dan Lokasi pilihan.
Masukkan Nama Ruang Kerja, Kunci API Peristiwa 1Password, dan URI.
- Interval Waktu default diatur ke lima (5) menit. Jika Anda ingin mengubah interval, Anda dapat menyesuaikan Pemicu Pengatur Waktu Aplikasi Fungsi yang sesuai (dalam file function.json, pasca penyebaran) untuk mencegah penyerapan data yang tumpang tindih.
- Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan
@Microsoft.KeyVault(SecretUri={Security Identifier})skema sebagai pengganti nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.
Tandai kotak centang berlabel Saya menyetujui syarat dan ketentuan yang dinyatakan di atas.
Klik Beli untuk menyebarkan.
Langkah berikutnya
Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.