Teams und Unternehmen

Erste Schritte mit 1Password Events Reporting und Splunk Cloud Classic Experience.

Erfahre, wie du die Aktivitäten deines 1Password-Kontos mit dem 1Password Events Reporting for Splunk Add-on an Splunk senden kannst.

Tipp

Wenn du Splunk Enterprise oder Splunk Cloud Victoria Experience verwendest, gibt es eine andere Möglichkeit, mit 1Password Events Reporting zu starten. Wenn du dir nicht sicher bist, welche Version von Splunk Cloud du verwendest, bestimme deine Plattform-Experience.

Mit 1Password Business kannst du deine Kontoaktivitäten an Splunk senden, indem du das Add-on „1Password Events Reporting für Splunk“ verwendest. Erhalte Berichte über 1Password-Aktivitäten wie Anmeldeversuche und Elementnutzung, während du alle Anwendungen und Dienste deines Unternehmens von einem zentralen Ort aus verwaltest.

Mit 1Password Events Reporting und Splunk kannst du:

  • Kontrolliere die Aufbewahrung deiner 1Password-Daten
  • Kundenspezifische Grafiken und Dashboards erstellen
  • Richte benutzerdefinierte Benachrichtigungen ein, die bestimmte Aktionen auslösen
  • 1Password-Ereignisse mit den Daten anderer Dienste vergleichen

Event Reporting einrichten, wenn du Eigentümer oder Administrator bist.

Du benötigst außerdem einen Inputs Data Manager (IDM) , um das 1Password Events Reporting für Splunk-Add-on mit Splunk Cloud Classic Experience zu verwenden. Falls du kein IDM hast, kontaktiere den Splunk-Support und bitte ihn, eines für dich bereitzustellen.

Schritt 1: Erstelle einen Index für jeden Ereignistyp

Hilfe

Wenn du auf main indizieren möchtest, anstatt einen Index für jeden Ereignistyp zu erstellen, kannst du direkt zu den Schritten zur Einrichtung des 1Password-Add-ons wechseln.

Melde dich bei Splunk Web für deinen Suchkopf an und erstelle einen Index für jeden Ereignistyp, für den du Berichte erhalten möchtest. Wiederhole diese Schritte, wenn du mehr als einen Index erstellst.

  1. Select Settings in the Splunk bar, then select Indexes from the Data section.
  2. Select New Index and enter an index name. You can leave the default values for all other fields, or you can enter custom values as needed.
  3. Wähle Speichern aus.

Schritt 2: Richte das 1Password-Add-on ein

Kontaktiere den Splunk-Support, um das Add-on zu installieren

Bevor du das 1Password Events Reporting für das Splunk-Add-on einrichten kannst, muss es in deinem Splunk Suchkopf und IDM installiert werden. Splunk Cloud Classic Experience unterstützt keine Self-Service-Installation, daher musst du Splunk Support kontaktieren, damit das Add-on für dich installiert wird.

  1. Melde dich bei deinem Konto auf Splunk.com an.

  2. Select the Support menu > Support Portal.

  3. Select Submit a Case in the sidebar, then select Cloud App/Add-on Requests and fill in all necessary fields.

    Cloud-Wartungsanfrage: Wähle Installieren.

    App oder Add-on: Gib „1Password Events Reporting for Splunk add-on“ ein.

    Wähle Cloud-Stack aus: Wähle deinen Cloud-Stack aus.

    Voraussichtlicher Installationsort: Wähle sowohl Searchhead als auch Inputs Data Manager aus.

    **Beschreibung:** Füge so viele Details hinzu, wie du für deine Installation benötigst. Stelle sicher, dass du Folgendes angibst:

    • Konfiguration-Kennzeichen und Eingaben müssen am Suchkopf deaktiviert werden. Beantrage, dass das Kennzeichen isConfigured auf true gesetzt wird.
    • Wenn du deine eigenen Indizes für die 1Password-Ereignistypen erstellt hast, bitte den Splunk-Support, deine Indexkonfigurationen zu synchronisieren, nachdem das Add-on in deinem IDM installiert wurde.

Nachdem der Splunk Support das 1Password Add-on installiert und deine Indizes synchronisiert hat, kannst du die Einrichtung abschließen.

Richte das Add-on ein und verbinde es mit deinem 1Password-Konto

Sign in to Splunk Web for your IDM. Select the gear button next to the Apps menu in the sidebar, and search for the 1Password Events Reporting for Splunk add-on. Select Set up from the Actions column, then follow these steps:

  1. Select Generate an Events API token. A new browser tab or window will open.
  2. Melde dich bei deinem 1Password-Konto an.
  3. Enter a system name for the integration (or use the default suggestion), then select Add Integration.
  4. Gib einen Namen für das Bearer Token ein (oder verwende den Standardvorschlag) und entscheide, wann es abläuft.
  5. Select or deselect the event types the token has access to, then select Issue Token.
  6. Select Save in 1Password and choose which vault to save your token to. Then copy your token.
  7. In Splunk Web for your IDM, enter the token you copied from 1Password.com, then select Next.
  8. Choose which index to use for each event type. Select Submit, then select Finish.

Schritt 3: Erstelle ein Suchmakro

Melde dich bei Splunk Web für deinen Suchkopf an, um ein Suchmakro für jeden Ereignistyp zu erstellen. Wiederhole diese Schritte, wenn du ein Suchmakro für mehr als einen Ereignistyp erstellst.

  1. Select Settings in the Splunk bar, then choose Advanced Search from the Knowledge section.

  2. Select Add new beside “Search macros”.

  3. Konfiguriere die Ziel-App, den Namen und die Definition für das Makro:

    Ziel-App: Wähle onepassword_events_api aus der Liste.

    Name: Gib einen Namen für das Suchmakro ein:

    • Gib für Audit-Ereignisse 1password_audit_events_index ein.
    • Gib für Elementnutzungsereignisse 1password_item_usages_index ein.
    • Gib für Anmeldeversuchsereignisse 1password_signin_attempts_index ein.

    Definition: Gib eine Definition für deinen Index ein. Falls du auf main indiziert hast, gib index=main ein. Wenn du für jeden Ereignistyp einen Index erstellt hast, gib eine Definition für diesen Index ein:

    • Gib für Audit-Ereignisse index=onepassword_audit_events ein.
    • Gib für für Anmeldenutzungsereignisse index=onepassword_item_usages ein.
    • Gib für Anmeldeversuche index=onepassword_signin_attempts ein.

  4. Select Save, then choose Permissions from the Sharing column for the search macro you created and select This app only (onepassword_events_api).

  5. Select the permissions for each role, then select Save.

    Jeder Rolle sollte eine Leseberechtigung erteilt werden. Die Schreibberechtigung sollte der Administratorrolle erteilt werden und allen anderen, die sie benötigen.

Alle deine Suchvorgänge sollten auf deinem Suchkopf und nicht auf deinem IDM durchgeführt werden.

Du kannst Splunk nun verwenden, um Ereignisse von deinem 1Password-Konto aus zu überwachen.

Anhang: Bestimme deine Splunk Cloud Platform-Erfahrung

Wenn du dir nicht sicher bist, welche Version von Splunk Cloud du verwendest, bestimme deine Plattform-Experience.

Wenn du die Victoria Experience nutzt, gibt es eine andere Möglichkeit, mit 1Password Events Reporting zu starten.

Wenn dein Erlebnis nicht aufgeführt ist, überprüfe deine Version. Wenn du 8.1 oder eine frühere Version verwendest, nutzt du die Classic Experience.

Anhang: Liste der 1Password-Ereignistypen

EreignistypIndexnameDescription
Audit-Ereignisseonepassword_audit_eventsGibt Informationen über Aktionen zurück, die von Teammitgliedern in einem 1Password-Konto durchgeführt wurden, wie beispielsweise Änderungen am Konto, an Tresoren, Gruppen, Nutzern und mehr.
Elementnutzungonepassword_item_usagesGibt Informationen über Elemente in gemeinsamen Tresoren zurück, die geändert, aufgerufen oder benutzt wurden.
Anmeldeversucheonepassword_signin_attemptsGibt Informationen über Anmeldeversuche (erfolgreiche und fehlgeschlagene) zurück.

Anhang: Bearer Token ausgeben oder widerrufen

Ein Bearer Token ausstellen

  1. Sign in to your account on 1Password.com and select Integrations in the sidebar.
  2. Choose the Events Reporting integration where you want to issue a token and select Add a token.
  3. Enter a name for the bearer token and choose when it will expire. Select the event types the token has access to, then select Issue Token.
  4. Select Save in 1Password and choose which vault to save your token to. Then select View Integration Details.

Einen Bearer-Token widerrufen

Wichtig

Splunk nimmt keine Ereignisse mehr auf, nachdem ein Token widerrufen wurde. Um Ausfallzeiten zu minimieren, stelle ein Ersatz-Token aus, bevor du eines widerrufst.

  1. Sign in to your account on 1Password.com and select Integrations in the sidebar.
  2. Wähle die Events Reporting-Integration aus, für die du ein Token widerrufen möchtest.
  3. Select the gear button next to the token you want to revoke, then select Revoke.

Ein Bearer Token in Splunk aktualisieren

Wenn du ein Bearer Token in 1Password ausstellst, musst du das Token in Splunk aktualisieren. Kopiere dein Token aus 1Password und folge dann diesen Schritten:

  1. Melde dich bei deinem Konto auf Splunk Web an.
  2. Select the gear button next to the Apps menu in the sidebar.
  3. Search for the 1Password Events Reporting for Splunk add-on, then select Launch app from the Actions column.
  4. Select the Configurations tab, then select I already have my Events API token.
  5. Paste the bearer token you copied previously, then select Next.
  6. Aktiviere oder deaktiviere die Ereignistypen, auf die das Token Zugriff hat und wähle aus, welcher Index für jeden Ereignistyp verwendet werden soll.
  7. Select Submit, then select Finish.

Unterstützung erhalten

Um die Ereignistypen zu ändern, auf die ein Token Zugriff hat, gib ein neues Token aus, dann aktualisiere das Token in Splunk.

Um Hilfe bei der Events Reporting zu erhalten oder Feedback zu geben, kontaktiere das 1Password Business-Team.

Mehr erfahren


Published: