1Conector de senha (usando o Azure Functions) para o Microsoft Sentinel
A solução 1Password para Microsoft Sentinel permite-lhe ingerir tentativas de início de sessão, utilização de itens e eventos de auditoria a partir da sua conta 1Password Business utilizando a API de Relatório de Eventos 1Password. Isso permite que você monitore e investigue eventos no 1Password no Microsoft Sentinel juntamente com outros aplicativos e serviços que sua organização usa.
Tecnologias Microsoft subjacentes usadas:
Essa solução depende das seguintes tecnologias, e algumas das quais podem estar no estado de visualização ou podem incorrer em ingestão adicional ou custos operacionais:
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | OnePasswordEventLogs_CL |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | 1Password |
Exemplos de consulta
Top 10 Utilizadores
OnePasswordEventLogs_CL
| summarize count() by tostring(target_user.name)
| top 10 by count_
Pré-requisitos
Para integrar com o 1Password (usando o Azure Functions), verifique se você tem:
- Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
- Token da API de Eventos 1Password: É necessário um Token da API de Eventos 1Password. Consulte a documentação para saber mais sobre a API do 1Password.
- É necessária uma conta 1Password Business.
Instruções de instalação do fornecedor
Nota
Esse conector usa o Azure Functions para se conectar ao 1Password para extrair logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados do Azure. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
PASSO 1 - Passos de configuração para a API de Relatório de Eventos 1Password
Siga estas instruções fornecidas pelo 1Password para obter um Token de API de Relatório de Eventos. É necessária uma conta 1Password Business.
ETAPA 2 - Implantar o functionApp usando o botão DeployToAzure para criar a tabela, a regra de coleta de dados e a Função do Azure associada
IMPORTANTE: Antes de implantar o conector 1Password, uma tabela personalizada precisa ser criada.
Opção 1 - Modelo do Azure Resource Manager (ARM)
Esse método fornece uma implantação automatizada do conector 1Password usando um ARM Tempate.
Clique no botão Implantar no Azure abaixo.
Selecione a Subscrição, o Grupo de Recursos e a Localização preferidos.
Insira o Nome do espaço de trabalho, o nome do espaço de trabalho, a chave da API de eventos 1Password e o URI.
- O intervalo de tempo padrão é definido como cinco (5) minutos. Se quiser modificar o intervalo, você pode ajustar o gatilho do temporizador do aplicativo de função de acordo (no arquivo function.json, pós-implantação) para evitar a ingestão de dados sobrepostos.
- Se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.
Marque a caixa de seleção Concordo com os termos e condições mencionados acima.
Clique em Comprar para implantar.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.