Teams and business

Starte mit 1Password Events Reporting und Splunk Enterprise oder Splunk Cloud Victoria Experience

Erfahre, wie du die Aktivitäten deines 1Password-Kontos mit dem 1Password Events Reporting for Splunk Add-on an Splunk senden kannst.

Tip

Wenn du die Splunk Cloud Classic Experience verwendest, gibt es eine andere Möglichkeit, mit 1Password Event Reporting zu starten. Wenn du dir nicht sicher bist, welche Version von Splunk Cloud du verwendest, bestimme deine Plattform-Experience.

Mit 1Password Business kannst du deine Kontoaktivitäten an Splunk senden, indem du das Add-on „1Password Events Reporting für Splunk“ verwendest. Erhalte Berichte über 1Password-Aktivitäten wie Anmeldeversuche und Elementnutzung, während du alle Anwendungen und Dienste deines Unternehmens von einem zentralen Ort aus verwaltest.

Mit 1Password Events Reporting und Splunk kannst du:

  • Kontrolliere die Aufbewahrung deiner 1Password-Daten
  • Kundenspezifische Grafiken und Dashboards erstellen
  • Richte benutzerdefinierte Benachrichtigungen ein, die bestimmte Aktionen auslösen
  • 1Password-Ereignisse mit den Daten anderer Dienste vergleichen

Event Reporting einrichten, wenn du Eigentümer oder Administrator bist.

Um loszulegen, melde dich bei Splunk Web an und folge dann diesen Schritten.

Schritt 1: Erstelle einen Index für jeden Ereignistyp

Hilfe

Wenn du auf main indizieren möchtest, anstatt einen Index für jeden Ereignistyp zu erstellen, kannst du direkt zu den Schritten zur Einrichtung des 1Password-Add-ons wechseln.

Erstelle in Splunk Web einen Index für jeden Ereignistyp, für den du Berichte erhalten möchtest. Wiederhole diese Schritte, wenn du mehr als einen Index erstellst.

  1. Klicke in der Splunk-Leiste auf Einstellungen und wähle dann Indizes im Abschnitt „Daten“ aus.
  2. Klicke auf Neuer Index und gib einen Indexnamen ein. Du kannst die Standardwerte für alle anderen Felder beibehalten oder bei Bedarf angepasste Werte für Splunk Enterprise oder Splunk Cloud eingeben.
  3. Click Save.

Schritt 2: Richte das 1Password-Add-on ein

Lade das Add-on „1Password Events Reporting für Splunk“ herunter von Splunkbase. Als Nächstes installiere das Add-on in Splunk Web. Klicke dann auf Jetzt einrichten und folge diesen Schritten:

  1. Klicke auf Events-API-Token generieren. Ein neuer Browser-Tab oder ein neues Browserfenster wird geöffnet.
  2. Melde dich bei deinem 1Password-Konto an.
  3. Gib einen Systemnamen für die Integration ein (oder verwende den Standardvorschlag) und klicke dann auf Integration hinzufügen.
  4. Gib einen Namen für das Bearer Token ein (oder verwende den Standardvorschlag) und entscheide, wann es abläuft.
  5. Aktiviere oder deaktiviere die Ereignistypen, auf die das Token Zugriff hat und klicke dann auf Token ausstellen.
  6. Klicke auf In 1Password speichern und wähle den Tresor, in dem du dein Token speichern möchtest. Dann kopiere dein Token.
  7. Gib in Splunk Web das Token ein, das du von 1Password.com kopiert hast, dann klicke auf Weiter.
  8. Entscheide, welcher Index für jeden Ereignistyp verwendet werden soll. Klicke auf Senden, klicke dann auf Fertigstellen.

Wenn du Weiterleiter in einer verteilten Splunk Enterprise-Bereitstellung verwendest, musst du das Add-on auch für deine Weiterleiter installieren.

Schritt 3: Erstelle ein Suchmakro

Erstelle ein Suchmakro in Splunk Web für jeden Ereignistyp. Wiederhole diese Schritte, wenn du ein Suchmakro für mehr als einen Ereignistyp erstellst.

  1. Klicke in der Splunk-Leiste auf „Einstellungen“ und wähle dann im Abschnitt „Wissen“ „Erweiterte Suche“.

  2. Klicke neben „Suchmakros“ auf Neu hinzufügen.

  3. Konfiguriere die Ziel-App, den Namen und die Definition für das Makro:

    Ziel-App: Wähle onepassword_events_api aus der Liste.

    Name: Gib einen Namen für das Suchmakro ein:

    • Gib für Audit-Ereignisse 1password_audit_events_index ein.
    • Gib für Elementnutzungsereignisse 1password_item_usages_index ein.
    • Gib für Anmeldeversuchsereignisse 1password_signin_attempts_index ein.

    Definition: Gib eine Definition für deinen Index ein. Falls du auf main indiziert hast, gib index=main ein. Wenn du für jeden Ereignistyp einen Index erstellt hast, gib eine Definition für diesen Index ein:

    • Gib für Audit-Ereignisse index=onepassword_audit_events ein.
    • Gib für für Anmeldenutzungsereignisse index=onepassword_item_usages ein.
    • Gib für Anmeldeversuche index=onepassword_signin_attempts ein.

  4. Klicke auf Speichern, wähle dann Berechtigungen aus der Spalte für das von dir erstellte Suchmakro aus und wähle Nur diese App (onepassword_events_api) aus .

  5. Wähle die Berechtigungen für jede Rolle aus und klicke dann auf Speichern.

    Jeder Rolle sollte eine Leseberechtigung erteilt werden. Die Schreibberechtigung sollte der Administratorrolle erteilt werden und allen anderen, die sie benötigen.

Du kannst Splunk nun verwenden, um Ereignisse von deinem 1Password-Konto aus zu überwachen.

Anhang: Bestimme deine Splunk Cloud Platform-Erfahrung

Wenn du dir nicht sicher bist, welche Version von Splunk Cloud du verwendest, bestimme deine Plattform-Experience.

Wenn du deine Experience nicht aufgeführt siehst, überprüfe deine Version. Wenn du 8.1 oder früher verwendest, nutzt du die Classic Experience und es gibt eine andere Möglichkeit, mit 1Password Events Reporting zu starten.

Anhang: Liste der 1Password-Ereignistypen

EreignistypIndexnameDescription
Audit-Ereignisseonepassword_audit_eventsGibt Informationen über Aktionen zurück, die von Teammitgliedern in einem 1Password-Konto durchgeführt wurden, wie beispielsweise Änderungen am Konto, an Tresoren, Gruppen, Nutzern und mehr.
Elementnutzungonepassword_item_usagesGibt Informationen über Elemente in gemeinsamen Tresoren zurück, die geändert, aufgerufen oder benutzt wurden.
Anmeldeversucheonepassword_signin_attemptsGibt Informationen über Anmeldeversuche (erfolgreiche und fehlgeschlagene) zurück.

Anhang: Bearer Token ausgeben oder widerrufen

Ein Bearer Token ausstellen

  1. Melde dich bei deinem Konto auf 1Password.com an und klicke in der Seitenleiste auf Integrationen.
  2. Wähle die Events Reporting-Integration aus, für die du ein Token ausgeben möchtest und klicke auf Ein Token hinzufügen.
  3. Gib einen Namen für das Bearer Token ein und entscheide, wann es abläuft. Wähle die Ereignistypen aus, auf die das Token Zugriff hat, und klicke dann auf Token ausgeben.
  4. Klicke auf In 1Password speichern und wähle den Tresor, in dem du dein Token speichern möchtest. Klicke dann auf Integrationsdetails anzeigen.

Einen Bearer-Token widerrufen

Wichtig

Splunk nimmt keine Ereignisse mehr auf, nachdem ein Token widerrufen wurde. Um Ausfallzeiten zu minimieren, stelle ein Ersatz-Token aus, bevor du eines widerrufst.

  1. Melde dich bei deinem Konto auf 1Password.com an und klicke in der Seitenleiste auf Integrationen.
  2. Wähle die Events Reporting-Integration aus, für die du ein Token widerrufen möchtest.
  3. Klicke auf das Zahnradsymbol neben dem Token, das du widerrufen möchtest, und klicke dann auf Widerrufen.

Ein Bearer Token in Splunk aktualisieren

Wenn du ein Bearer Token in 1Password ausstellst, musst du das Token in Splunk aktualisieren. Kopiere dein Token aus 1Password und folge dann diesen Schritten:

  1. Melde dich bei Splunk Web an.
  2. Klicke auf das Zahnradsymbol neben dem Apps-Menü in der Seitenleiste.
  3. Suche nach dem Add-on „1Password Events Reporting for Splunk“ und klicke dann in der Spalte „Aktionen“ auf App starten.
  4. Klicke auf die Registerkarte Konfigurationen und klicke dann auf Ich habe bereits mein Events-API-Token.
  5. Füge das zuvor kopierte Bearer Token ein und klicke dann auf Weiter.
  6. Aktiviere oder deaktiviere die Ereignistypen, auf die das Token Zugriff hat und wähle aus, welcher Index für jeden Ereignistyp verwendet werden soll.
  7. Klicke auf Senden, dann auf Fertigstellen.

Get help

Um die Ereignistypen zu ändern, auf die ein Token Zugriff hat, gib ein neues Token aus, dann aktualisiere das Token in Splunk.

Um Hilfe bei der Events Reporting zu erhalten oder Feedback zu geben, kontaktiere das 1Password Business-Team.

Learn more


Published: