Teams und Unternehmen

Starte mit 1Password Events Reporting und Splunk Enterprise oder Splunk Cloud Victoria Experience

Erfahre, wie du die Aktivitäten deines 1Password-Kontos mit dem 1Password Events Reporting for Splunk Add-on an Splunk senden kannst.

Tipp

Wenn du die Splunk Cloud Classic Experience verwendest, gibt es eine andere Möglichkeit, mit 1Password Event Reporting zu starten. Wenn du dir nicht sicher bist, welche Version von Splunk Cloud du verwendest, bestimme deine Plattform-Experience.

Mit 1Password Business kannst du deine Kontoaktivitäten an Splunk senden, indem du das Add-on „1Password Events Reporting für Splunk“ verwendest. Erhalte Berichte über 1Password-Aktivitäten wie Anmeldeversuche und Elementnutzung, während du alle Anwendungen und Dienste deines Unternehmens von einem zentralen Ort aus verwaltest.

Mit 1Password Events Reporting und Splunk kannst du:

  • Kontrolliere die Aufbewahrung deiner 1Password-Daten
  • Kundenspezifische Grafiken und Dashboards erstellen
  • Richte benutzerdefinierte Benachrichtigungen ein, die bestimmte Aktionen auslösen
  • 1Password-Ereignisse mit den Daten anderer Dienste vergleichen

Event Reporting einrichten, wenn du Eigentümer oder Administrator bist.

Um loszulegen, melde dich bei Splunk Web an und folge dann diesen Schritten.

Schritt 1: Erstelle einen Index für jeden Ereignistyp

Hilfe

Wenn du auf main indizieren möchtest, anstatt einen Index für jeden Ereignistyp zu erstellen, kannst du direkt zu den Schritten zur Einrichtung des 1Password-Add-ons wechseln.

Erstelle in Splunk Web einen Index für jeden Ereignistyp, für den du Berichte erhalten möchtest. Wiederhole diese Schritte, wenn du mehr als einen Index erstellst.

  1. Select Settings in the Splunk bar, then choose Indexes from the Data section.
  2. Select New Index and enter an index name. You can leave the default values for all other fields, or you can enter custom values as needed for Splunk Enterprise or Splunk Cloud.
  3. Wähle Speichern aus.

Schritt 2: Richte das 1Password-Add-on ein

Download the 1Password Events Reporting for Splunk add-on from Splunkbase. Next, install the add-on in Splunk Web. Then select Set up now and follow these steps:

  1. Select Generate an Events API token. A new browser tab or window will open.
  2. Melde dich bei deinem 1Password-Konto an.
  3. Enter a system name for the integration (or use the default suggestion), then select Add Integration.
  4. Gib einen Namen für das Bearer Token ein (oder verwende den Standardvorschlag) und entscheide, wann es abläuft.
  5. Select or deselect the event types the token has access to, then select Issue Token.
  6. Select Save in 1Password and choose which vault to save your token to. Then copy your token.
  7. In Splunk Web, enter the token you copied from 1Password.com, then select Next.
  8. Choose which index to use for each event type. Select Submit, then select Finish.

Wenn du Weiterleiter in einer verteilten Splunk Enterprise-Bereitstellung verwendest, musst du das Add-on auch für deine Weiterleiter installieren.

Schritt 3: Erstelle ein Suchmakro

Erstelle ein Suchmakro in Splunk Web für jeden Ereignistyp. Wiederhole diese Schritte, wenn du ein Suchmakro für mehr als einen Ereignistyp erstellst.

  1. Select Settings in the Splunk bar, then select Advanced Search from the Knowledge section.

  2. Select Add new beside “Search macros”.

  3. Konfiguriere die Ziel-App, den Namen und die Definition für das Makro:

    Ziel-App: Wähle onepassword_events_api aus der Liste.

    Name: Gib einen Namen für das Suchmakro ein:

    • Gib für Audit-Ereignisse 1password_audit_events_index ein.
    • Gib für Elementnutzungsereignisse 1password_item_usages_index ein.
    • Gib für Anmeldeversuchsereignisse 1password_signin_attempts_index ein.

    Definition: Gib eine Definition für deinen Index ein. Falls du auf main indiziert hast, gib index=main ein. Wenn du für jeden Ereignistyp einen Index erstellt hast, gib eine Definition für diesen Index ein:

    • Gib für Audit-Ereignisse index=onepassword_audit_events ein.
    • Gib für für Anmeldenutzungsereignisse index=onepassword_item_usages ein.
    • Gib für Anmeldeversuche index=onepassword_signin_attempts ein.

  4. Select Save, then choose Permissions from the Sharing column for the search macro you created and select This app only (onepassword_events_api).

  5. Select the permissions for each role, then select Save.

    Jeder Rolle sollte eine Leseberechtigung erteilt werden. Die Schreibberechtigung sollte der Administratorrolle erteilt werden und allen anderen, die sie benötigen.

Du kannst Splunk nun verwenden, um Ereignisse von deinem 1Password-Konto aus zu überwachen.

Anhang: Bestimme deine Splunk Cloud Platform-Erfahrung

Wenn du dir nicht sicher bist, welche Version von Splunk Cloud du verwendest, bestimme deine Plattform-Experience.

Wenn du deine Experience nicht aufgeführt siehst, überprüfe deine Version. Wenn du 8.1 oder früher verwendest, nutzt du die Classic Experience und es gibt eine andere Möglichkeit, mit 1Password Events Reporting zu starten.

Anhang: Liste der 1Password-Ereignistypen

EreignistypIndexnameDescription
Audit-Ereignisseonepassword_audit_eventsGibt Informationen über Aktionen zurück, die von Teammitgliedern in einem 1Password-Konto durchgeführt wurden, wie beispielsweise Änderungen am Konto, an Tresoren, Gruppen, Nutzern und mehr.
Elementnutzungonepassword_item_usagesGibt Informationen über Elemente in gemeinsamen Tresoren zurück, die geändert, aufgerufen oder benutzt wurden.
Anmeldeversucheonepassword_signin_attemptsGibt Informationen über Anmeldeversuche (erfolgreiche und fehlgeschlagene) zurück.

Anhang: Bearer Token ausgeben oder widerrufen

Ein Bearer Token ausstellen

  1. Sign in to your account on 1Password.com and select Integrations in the sidebar.
  2. Choose the Events Reporting integration where you want to issue a token and select Add a token.
  3. Enter a name for the bearer token and choose when it will expire. Select the event types the token has access to, then select Issue Token.
  4. Select Save in 1Password and choose which vault to save your token to. Then select View Integration Details.

Einen Bearer-Token widerrufen

Wichtig

Splunk nimmt keine Ereignisse mehr auf, nachdem ein Token widerrufen wurde. Um Ausfallzeiten zu minimieren, stelle ein Ersatz-Token aus, bevor du eines widerrufst.

  1. Sign in to your account on 1Password.com and select Integrations in the sidebar.
  2. Wähle die Events Reporting-Integration aus, für die du ein Token widerrufen möchtest.
  3. Select the gear button next to the token you want to revoke, then select Revoke.

Ein Bearer Token in Splunk aktualisieren

Wenn du ein Bearer Token in 1Password ausstellst, musst du das Token in Splunk aktualisieren. Kopiere dein Token aus 1Password und folge dann diesen Schritten:

  1. Melde dich bei Splunk Web an.
  2. Select the gear button next to the Apps menu in the sidebar.
  3. Search for the 1Password Events Reporting for Splunk add-on, then select Launch app from the Actions column.
  4. Select the Configurations tab, then select I already have my Events API token.
  5. Paste the bearer token you copied previously, then select Next.
  6. Aktiviere oder deaktiviere die Ereignistypen, auf die das Token Zugriff hat und wähle aus, welcher Index für jeden Ereignistyp verwendet werden soll.
  7. Select Submit, then select Finish.

Unterstützung erhalten

Um die Ereignistypen zu ändern, auf die ein Token Zugriff hat, gib ein neues Token aus, dann aktualisiere das Token in Splunk.

Um Hilfe bei der Events Reporting zu erhalten oder Feedback zu geben, kontaktiere das 1Password Business-Team.

Mehr erfahren


Published: