Teams and business

Erste Schritte mit 1Password Events Reporting und Splunk Cloud Classic Experience.

Erfahre, wie du die Aktivitäten deines 1Password-Kontos mit dem 1Password Events Reporting for Splunk Add-on an Splunk senden kannst.

Tip

Wenn du Splunk Enterprise oder Splunk Cloud Victoria Experience verwendest, gibt es eine andere Möglichkeit, mit 1Password Events Reporting zu starten. Wenn du dir nicht sicher bist, welche Version von Splunk Cloud du verwendest, bestimme deine Plattform-Experience.

Mit 1Password Business kannst du deine Kontoaktivitäten an Splunk senden, indem du das Add-on „1Password Events Reporting für Splunk“ verwendest. Erhalte Berichte über 1Password-Aktivitäten wie Anmeldeversuche und Elementnutzung, während du alle Anwendungen und Dienste deines Unternehmens von einem zentralen Ort aus verwaltest.

Mit 1Password Events Reporting und Splunk kannst du:

  • Kontrolliere die Aufbewahrung deiner 1Password-Daten
  • Kundenspezifische Grafiken und Dashboards erstellen
  • Richte benutzerdefinierte Benachrichtigungen ein, die bestimmte Aktionen auslösen
  • 1Password-Ereignisse mit den Daten anderer Dienste vergleichen

Event Reporting einrichten, wenn du Eigentümer oder Administrator bist.

Du benötigst außerdem einen Inputs Data Manager (IDM) , um das 1Password Events Reporting für Splunk-Add-on mit Splunk Cloud Classic Experience zu verwenden. Falls du kein IDM hast, kontaktiere den Splunk-Support und bitte ihn, eines für dich bereitzustellen.

Schritt 1: Erstelle einen Index für jeden Ereignistyp

Hilfe

Wenn du auf main indizieren möchtest, anstatt einen Index für jeden Ereignistyp zu erstellen, kannst du direkt zu den Schritten zur Einrichtung des 1Password-Add-ons wechseln.

Melde dich bei Splunk Web für deinen Suchkopf an und erstelle einen Index für jeden Ereignistyp, für den du Berichte erhalten möchtest. Wiederhole diese Schritte, wenn du mehr als einen Index erstellst.

  1. Klicke in der Splunk-Leiste auf Einstellungen und wähle dann Indizes im Abschnitt „Daten“ aus.
  2. Klicke auf Neuer Index und gib einen Indexnamen ein. Du kannst die Standardwerte für alle anderen Felder beibehalten oder bei Bedarf angepasste Werte eingeben .
  3. Click Save.

Schritt 2: Richte das 1Password-Add-on ein

Kontaktiere den Splunk-Support, um das Add-on zu installieren

Bevor du das 1Password Events Reporting für das Splunk-Add-on einrichten kannst, muss es in deinem Splunk Suchkopf und IDM installiert werden. Splunk Cloud Classic Experience unterstützt keine Self-Service-Installation, daher musst du Splunk Support kontaktieren, damit das Add-on für dich installiert wird.

  1. Melde dich bei deinem Konto auf Splunk.com an.

  2. Klicke auf das Support-Menü und wähle Support Portal.

  3. Klicke in der Seitenleiste auf Eine Anfrage einreichen, wähle dann Cloud App/Add-on Anfragen und fülle alle erforderlichen Felder aus.

    Cloud-Wartungsanfrage: Wähle Installieren.

    App oder Add-on: Gib „1Password Events Reporting for Splunk add-on“ ein.

    Wähle Cloud-Stack aus: Wähle deinen Cloud-Stack aus.

    Voraussichtlicher Installationsort: Wähle sowohl Searchhead als auch Inputs Data Manager aus.

    **Beschreibung:** Füge so viele Details hinzu, wie du für deine Installation benötigst. Stelle sicher, dass du Folgendes angibst:

    • Konfiguration-Kennzeichen und Eingaben müssen am Suchkopf deaktiviert werden. Beantrage, dass das Kennzeichen isConfigured auf true gesetzt wird.
    • Wenn du deine eigenen Indizes für die 1Password-Ereignistypen erstellt hast, bitte den Splunk-Support, deine Indexkonfigurationen zu synchronisieren, nachdem das Add-on in deinem IDM installiert wurde.

Nachdem der Splunk Support das 1Password Add-on installiert und deine Indizes synchronisiert hat, kannst du die Einrichtung abschließen.

Richte das Add-on ein und verbinde es mit deinem 1Password-Konto

Melde dich für dein IDM bei Splunk Web an. Klicke auf das Zahnradsymbol neben dem Apps-Menü in der Seitenleiste und suche nach dem Add-on „1Password Events Reporting für Splunk“. Klicke in der Spalte „Aktionen“ auf Einrichten und folge dann diesen Schritten:

  1. Klicke auf Events-API-Token generieren. Ein neuer Browser-Tab oder ein neues Browserfenster wird geöffnet.
  2. Melde dich bei deinem 1Password-Konto an.
  3. Gib einen Systemnamen für die Integration ein (oder verwende den Standardvorschlag) und klicke dann auf Integration hinzufügen.
  4. Gib einen Namen für das Bearer Token ein (oder verwende den Standardvorschlag) und entscheide, wann es abläuft.
  5. Aktiviere oder deaktiviere die Ereignistypen, auf die das Token Zugriff hat und klicke dann auf Token ausstellen.
  6. Klicke auf In 1Password speichern und wähle den Tresor, in dem du dein Token speichern möchtest. Dann kopiere dein Token.
  7. Gib in Splunk Web für dein IDM das Token ein, das du von 1Password.com kopiert hast, dann klicke auf Weiter.
  8. Entscheide, welcher Index für jeden Ereignistyp verwendet werden soll. Klicke auf Senden, klicke dann auf Fertigstellen.

Schritt 3: Erstelle ein Suchmakro

Melde dich bei Splunk Web für deinen Suchkopf an, um ein Suchmakro für jeden Ereignistyp zu erstellen. Wiederhole diese Schritte, wenn du ein Suchmakro für mehr als einen Ereignistyp erstellst.

  1. Klicke in der Splunk-Leiste auf „Einstellungen“ und wähle dann im Abschnitt „Wissen“ „Erweiterte Suche“.

  2. Klicke neben „Suchmakros“ auf Neu hinzufügen.

  3. Konfiguriere die Ziel-App, den Namen und die Definition für das Makro:

    Ziel-App: Wähle onepassword_events_api aus der Liste.

    Name: Gib einen Namen für das Suchmakro ein:

    • Gib für Audit-Ereignisse 1password_audit_events_index ein.
    • Gib für Elementnutzungsereignisse 1password_item_usages_index ein.
    • Gib für Anmeldeversuchsereignisse 1password_signin_attempts_index ein.

    Definition: Gib eine Definition für deinen Index ein. Falls du auf main indiziert hast, gib index=main ein. Wenn du für jeden Ereignistyp einen Index erstellt hast, gib eine Definition für diesen Index ein:

    • Gib für Audit-Ereignisse index=onepassword_audit_events ein.
    • Gib für für Anmeldenutzungsereignisse index=onepassword_item_usages ein.
    • Gib für Anmeldeversuche index=onepassword_signin_attempts ein.

  4. Klicke auf Speichern, wähle dann Berechtigungen aus der Spalte für das von dir erstellte Suchmakro aus und wähle Nur diese App (onepassword_events_api) aus .

  5. Wähle die Berechtigungen für jede Rolle aus und klicke dann auf Speichern.

    Jeder Rolle sollte eine Leseberechtigung erteilt werden. Die Schreibberechtigung sollte der Administratorrolle erteilt werden und allen anderen, die sie benötigen.

Alle deine Suchvorgänge sollten auf deinem Suchkopf und nicht auf deinem IDM durchgeführt werden.

Du kannst Splunk nun verwenden, um Ereignisse von deinem 1Password-Konto aus zu überwachen.

Anhang: Bestimme deine Splunk Cloud Platform-Erfahrung

Wenn du dir nicht sicher bist, welche Version von Splunk Cloud du verwendest, bestimme deine Plattform-Experience.

Wenn du die Victoria Experience nutzt, gibt es eine andere Möglichkeit, mit 1Password Events Reporting zu starten.

Wenn dein Erlebnis nicht aufgeführt ist, überprüfe deine Version. Wenn du 8.1 oder eine frühere Version verwendest, nutzt du die Classic Experience.

Anhang: Liste der 1Password-Ereignistypen

EreignistypIndexnameDescription
Audit-Ereignisseonepassword_audit_eventsGibt Informationen über Aktionen zurück, die von Teammitgliedern in einem 1Password-Konto durchgeführt wurden, wie beispielsweise Änderungen am Konto, an Tresoren, Gruppen, Nutzern und mehr.
Elementnutzungonepassword_item_usagesGibt Informationen über Elemente in gemeinsamen Tresoren zurück, die geändert, aufgerufen oder benutzt wurden.
Anmeldeversucheonepassword_signin_attemptsGibt Informationen über Anmeldeversuche (erfolgreiche und fehlgeschlagene) zurück.

Anhang: Bearer Token ausgeben oder widerrufen

Ein Bearer Token ausstellen

  1. Melde dich bei deinem Konto auf 1Password.com an und klicke in der Seitenleiste auf Integrationen.
  2. Wähle die Events Reporting-Integration aus, für die du ein Token ausgeben möchtest und klicke auf Ein Token hinzufügen.
  3. Gib einen Namen für das Bearer Token ein und entscheide, wann es abläuft. Wähle die Ereignistypen aus, auf die das Token Zugriff hat, und klicke dann auf Token ausgeben.
  4. Klicke auf In 1Password speichern und wähle den Tresor, in dem du dein Token speichern möchtest. Klicke dann auf Integrationsdetails anzeigen.

Einen Bearer-Token widerrufen

Wichtig

Splunk nimmt keine Ereignisse mehr auf, nachdem ein Token widerrufen wurde. Um Ausfallzeiten zu minimieren, stelle ein Ersatz-Token aus, bevor du eines widerrufst.

  1. Melde dich bei deinem Konto auf 1Password.com an und klicke in der Seitenleiste auf Integrationen.
  2. Wähle die Events Reporting-Integration aus, für die du ein Token widerrufen möchtest.
  3. Klicke auf das Zahnradsymbol neben dem Token, das du widerrufen möchtest, und klicke dann auf Widerrufen.

Ein Bearer Token in Splunk aktualisieren

Wenn du ein Bearer Token in 1Password ausstellst, musst du das Token in Splunk aktualisieren. Kopiere dein Token aus 1Password und folge dann diesen Schritten:

  1. Melde dich bei deinem Konto auf Splunk Web an.
  2. Klicke auf das Zahnradsymbol neben dem Apps-Menü in der Seitenleiste.
  3. Suche nach dem Add-on „1Password Events Reporting for Splunk“ und klicke dann in der Spalte „Aktionen“ auf App starten.
  4. Klicke auf die Registerkarte Konfigurationen und klicke dann auf Ich habe bereits mein Events-API-Token.
  5. Füge das zuvor kopierte Bearer Token ein und klicke dann auf Weiter.
  6. Aktiviere oder deaktiviere die Ereignistypen, auf die das Token Zugriff hat und wähle aus, welcher Index für jeden Ereignistyp verwendet werden soll.
  7. Klicke auf Senden, dann auf Fertigstellen.

Get help

Um die Ereignistypen zu ändern, auf die ein Token Zugriff hat, gib ein neues Token aus, dann aktualisiere das Token in Splunk.

Um Hilfe bei der Events Reporting zu erhalten oder Feedback zu geben, kontaktiere das 1Password Business-Team.

Learn more


Veröffentlicht: