1Password (uso del connettore Funzioni di Azure) per Microsoft Sentinel

La soluzione 1Password per Microsoft Sentinel consente di inserire tentativi di accesso, utilizzo degli elementi ed eventi di controllo dall'account 1Password Business usando l'API 1Password Events Reporting. In questo modo è possibile monitorare e analizzare gli eventi in 1Password in Microsoft Sentinel insieme ad altre applicazioni e servizi usati dall'organizzazione.

Tecnologie Microsoft sottostanti usate:

Questa soluzione dipende dalle tecnologie seguenti e alcune delle quali possono essere in stato di anteprima o potrebbero comportare costi operativi o di inserimento aggiuntivi:

Funzioni di Azure

Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.

Attributi connettore

Attributo connettore Descrizione
Tabelle Log Analytics OnePasswordEventLogs_CL
Supporto regole di raccolta dati Non è al momento supportato
Supportata da: 1Password

Esempi di query

Primi 10 utenti

OnePasswordEventLogs_CL

| summarize count() by tostring(target_user.name) 

| top 10 by count_

Prerequisiti

Per eseguire l'integrazione con 1Password (usando Funzioni di Azure) assicurarsi di avere:

Istruzioni per l’installazione di Vendor

Nota

Questo connettore usa Funzioni di Azure per connettersi a 1Password per eseguire il pull dei log in Microsoft Sentinel. Questo potrebbe comportare costi aggiuntivi per l'inserimento dei dati da Azure. Verificare la pagina prezzi di Funzioni di Azure per altre informazioni.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.

PASSAGGIO 1 - Passaggi di configurazione per l'API segnalazione eventi 1Password

Seguire queste istruzioni fornite da 1Password per ottenere un token API di creazione report eventi. È necessario un account 1Password Business.

PASSAGGIO 2: Distribuire functionApp usando il pulsante DeployToAzure per creare la tabella, la regola di raccolta dati e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore 1Password, è necessario creare una tabella personalizzata.

Opzione 1 - Modello di Azure Resource Manager (ARM)

Questo metodo fornisce una distribuzione automatica del connettore 1Password usando un tempate arm.

  1. Fare clic sul pulsante Distribuisci in Azure sotto.

    Distribuzione in Azure

  2. Selezionare la sottoscrizione preferita, il gruppo di risorse e la località.

  3. Immettere il nome dell'area di lavoro, il nome dell'area di lavoro, la chiave API degli eventi 1Password e l'URI.

    • L'intervallo di tempo predefinito è impostato su cinque (5) minuti. Se si vuole modificare l'intervallo, è possibile modificare il trigger timer dell'app per le funzioni di conseguenza (nel file di function.json post-distribuzione) per impedire l'inserimento di dati sovrapposto.
    • Se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo@Microsoft.KeyVault(SecretUri={Security Identifier})schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.
  4. Contrassegnare la casella di controllo etichettata Accetto le condizioni riportate sopra.

  5. Fare clic su Acquista per effettuare la distribuzione.

Passaggi successivi

Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.