Conector 1Password (usando Azure Functions) para Microsoft Sentinel
A solução 1Password para o Microsoft Sentinel permite ingerir tentativas de entrada, uso de item e eventos de auditoria de sua conta do 1Password Business usando a API de Relatório de Eventos do 1Password. Isso permite que você monitore e investigue eventos no 1Password no Microsoft Sentinel, juntamente com os outros aplicativos e serviços que sua organização usa.
Tecnologias subjacentes da Microsoft usadas:
Essa solução depende das seguintes tecnologias e algumas das quais podem estar em estado de Versão prévia ou podem incorrer em custos operacionais ou de ingestão adicionais:
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | OnePasswordEventLogs_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | 1Password |
Exemplos de consulta
Dez principais usuários
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Pré-requisitos
Para integrar com 1Password (usando Azure Functions), certifique-se de ter:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Token de API de Eventos 1Password: um token de API de Eventos 1Password é necessário. Consulte a documentação para saber mais sobre a API 1Password.
- Uma conta 1Password Business é necessária.
Instruções de instalação do fornecedor
Observação
Esse conector usa o Azure Functions para se conectar ao 1Password e efetuar pull dos logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados do Azure. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
ETAPA 1 – Etapas de configuração da API de Relatório de Eventos do 1Password
Siga essas instruções fornecidas por 1Password para obter um token de API de relatórios de eventos. Uma conta 1Password Business é necessária.
ETAPA 2 – Implantar o functionApp usando o botão DeployToAzure para criar a tabela, a regra de coleta de dados e a função do Azure associada
IMPORTANTE: antes de implantar o conector 1Password, uma tabela personalizada precisa ser criada.
Opção 1 – Modelo do Azure Resource Manager (ARM)
Esse método promove uma implantação automatizada do conector 1Password com um modelo do ARM.
Clique no botão Implantar no Azure abaixo.
Selecione a Assinatura, o Grupo de Recursos e o Local de sua preferência.
Insira o Nome do Workspace, Nome do Workspace, Chave de API de Eventos 1Password e URI.
- O Intervalo de Tempo padrão é definido como cinco (5) minutos. Se você quiser modificar o intervalo, poderá ajustar o Gatilho do Temporizador do Aplicativo de Funções adequadamente (no arquivo function.json, após a implantação) para evitar a sobreposição de ingestão de dados.
- Se você usa segredos do Azure Key Vault para um dos valores acima, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault.
Marque a caixa de seleção rotulada como Concordo com os termos e condições declarados acima.
Clique em Comprar para fazer a implantação.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.