1Password イベント 監査イベントの報告

1Password イベント API を使うと、監査イベント、アイテムの使用状況、サインイン試行など、1Password アカウントのアクティビティに関する情報を取得し、セキュリティ情報およびイベント管理 (SIEM) システムに送信できます。

ヒント

1password-events-api.yaml別のツールで API を表示するには、ファイルをダウンロードしてください。

必要条件

1Password イベント API を使う前に、次のことを行う必要があります。

• 1Password Business にサインアップしてください。

• アカウントでイベント レポート統合を設定します。

• ベアラー トークンをCreateし、アクセスできるイベント機能を選択します。

APIについて

1Password イベント API は、 OpenAPI 3.0 仕様に準拠した REST スタイルの API です。クライアントとサーバー間の全ての通信は HTTPS 経由で行われます。

イベント API のテストと実装には、お好みの言語とツールを使用できます。このリファレンスでは、コマンド ラインでcurl を使用してサンプル リクエストを示します。リクエスト内の値を独自の値に置き換えて、1Password アカウントのイベントに関する情報を受け取ることができます。

API は過去 120 日間のデータにアクセスできます。120 日以上前のデータにアクセスする必要がある場合は、1Password アカウントのアクティビティ ログを使用できます。

Request methods

イベント API は、次の標準 HTTP リクエスト メソッドを受け入れます。

• エンドポイントへの GET リクエストは、introspectベアラー トークンがアクセスできるイベントに関する情報を返します。

• auditevents、itemusages、signinattemptsエンドポイントへの POST リクエストは1Password アカウントのさまざまなアクティビティに関する情報を返します。どのエンドポイントが呼び出されるかに応じて、リクエストは次のいずれかを返します。

  • 1Password アカウントへのサインインのCreate功と失敗

  • アカウント内の共有金庫にSaveされているアイテムの使用に関する全ての情報

  • アカウント内のチームメンバーが実行したアクションの監査イベント

Servers

API 呼び出しに使うベース URL は、1Password アカウントをホストするサーバーによって決まります。

サービス ID ( events) とホスト サーバーがベース URL を形Createし、その後に呼び出すエンドポイントのパスが続きます。例えば、1Password.com のビジネス アカウントの監査イベントのリストを取得するには、次の URL を使用してエンドポイントを呼び出しますauditevents。

https://events.1password.com/api/v1/auditevents

Authorization

1Password Events API への全ての呼び出しは、ベアラー トークンを使用して承認される必要があります。認証のリクエストのヘッダーにベアラー トークンを含める必要があります。

トークンは、トークンのCreate時にスコープされたイベントに応じて、1 つ以上のイベントのデータにアクセスすることを許可されます。使うベアラー トークンが、要求するイベントにアクセスできることを確認してください。これは、1Password アカウントの統合セクションにあるイベント レポート統合の詳細から、またはイントロスペクション エンドポイントへの GET リクエストを通じて確認できます。

リクエストヘッダー

イベント API へのリクエストには正しいヘッダーが含まれている必要があります。

• Authorization: イベント API への各 GET および POST リクエストは、その機能のイベント データにアクセスするためのスコープが設定されたベアラー トークンで承認される必要があります。承認ヘッダーにトークンを含めます。

• Content-Type: 各 POST リクエストにContent-Typeは、リクエスト本文で送信されるリソースのメディア タイプを示すヘッダーが必要です。Events API の全てのデータは JSON として送受信されるため、application/jsonコンテンツ タイプとして指定する必要があります。GET リクエストにはリクエスト本文が含まれていないため、このヘッダーは必要ありません。

リクエスト ヘッダーの例:

Authorization: Bearer YOUR_BEARER_TOKEN

Content-type: application/json

Pagination

イベント API はカーソルベースのページネーションを使用します。これは、大規模なデータセットの操Createに便利です。各リクエストに応答して、API はデータの取得を中断した場所を示す一意の ID (カーソル) を返します。次の呼び出しでは、そのカーソルを指定してデータセットの次のポイントからイベントの取得を続行できるため、レコードが失われることはありません。

API 呼び出しで使用されるカーソルには、リセット カーソルとカーソル(継続カーソルとも呼ばれます) の 2 種類があります。

Reset cursor

リセット カーソルは、API への最初のリクエストで使用され、データの取得を開始する新しいポイントをCreateします。また、カーソルのパラメータ (各リクエストで返すレコードの数など) をリセットする必要がある場合や、レコード内の前のポイントに戻る必要がある場合はいつでも、リセット カーソルを使用できます。

API に対して行う最初の POST リクエストでは、ResetCursorリクエスト本文に、オプションの開始時刻、終了時刻、制限パラメータを含むオブジェクトを含める必要があります。返される値にcursorは、API への次の呼び出しで使用できるレスポンス本文が含まれます。パラメータが指定されていない場合、API はスキーマに示されているデフォルト値を使用します。

例えば：

Example reset cursor request

{

"limit": 100,

"start_time": "2023-03-15T16:32:50-03:00",

"end_time": "2023-03-15T17:32:50-03:00"

}

ResetCursor object schema

Cursor

API の呼び出しを継続するには、オブジェクトcursorの代わりに、前回の応答の を次の API 呼び出しのリクエスト本文に含めますResetCursor。これにより、データの欠落を回避するために、最後に指定された位置からデータの取得が開始されます。

Example cursor

{

"cursor": "aGVsbG8hIGlzIGl0IG1lIHlvdSBhcmUgbG9va2luZyBmb3IK"

}

Cursor object schema

SplunkおよびElastic用の 1Password イベント API アプリは、将来のリクエストのために位置をSaveしますcursor。

レート制限

イベント API では、リクエストが 1 分あたり 600 件、1 時間あたり最大 30,000 件に制限されています。これらの制限を超えると、エラーが返されます。

429　Too many requests

GET /api/v2/auth/introspect

https://<base_url>/api/v2/auth/introspect

このエンドポイントへの GET 呼び出しは、監査イベント、アイテムの使用状況、サインイン試行など 1 つ以上を含む、ベアラー トークンがアクセスを許可されているイベント (機能) のリストを返します。

パラメータ

パラメータはありません。

リクエスト

ベアラー トークンと必要なリクエスト ヘッダーをintrospect含むエンドポイントの完全な URL を使用します。GET リクエストには本文が含まれていないため、コンテンツ タイプ ヘッダーは必要ありません。

例えば：

curl --request GET \

--url https://<base_url>/api/v2/auth/introspect \

--header 'Authorization: Bearer YOUR_BEARER_TOKEN'

Responses

200 Returns an Introspection object

400 Bad request

401 Unauthorized access

500 Internal server error

Create功した200応答は、トークンに関する情報を含むIntrospectionオブジェクトを返します。

Example introspection response

{

"uuid": "OK41XEGLRTH4YKO5YRTCPNX3IU",

"issued_at": "2023-03-05T16:32:50-03:00",

"features": [

"auditevents",

"itemusages",

"signinattempts"

]

}

Introspection object schema

POST /api/v1/auditevents

https://<base_url>/api/v1/auditevents

このエンドポイントへの POST 呼び出しは、1Password アカウント内のチーム メンバーによって実行されたアクションに関する情報を返します。イベントには、アクションがいつ、だれによって実行されたか、アクションの種類とオブジェクトに関する詳細、およびアクティビティに関するその他の情報が含まれます。監査イベントの詳細については、こちらをご覧ください。

このエンドポイントには、機能を備えたベアラー トークンがauditevents必要です。APIへのイントロスペクション呼び出しを実行して、トークンが監査イベントにアクセスする権限を持っているかどうかを確認できます。

Parameters

パラメータはありません。

Requests

ベアラー トークンと必要なリクエスト ヘッダーauditeventsを含むエンドポイントの完全な URL を使用します。リクエスト本文には、 ResetCursorオブジェクトまたは以前の応答からのカーソルを含める必要があります。

Example audit events request with a reset cursor

$ curl --request POST \

--url https://base_url/api/v1/auditevents \

--header 'Authorization: Bearer YOUR_BEARER_TOKEN' \

--header 'Content-Type: application/json' \

--data '{

"limit": 100,

"start_time": "2023-03-15T16:32:50-03:00"

$}'

Example audit events request with a continuing cursor

$ curl --request POST \

--url https://base_url/api/v1/auditevents \

--header 'Authorization: Bearer YOUR_BEARER_TOKEN' \

--header 'Content-Type: application/json' \

--data '{

"cursor":"aGVsbG8hIGlzIGl0IG1lIHlvdSBhcmUgbG9va2luZyBmb3IK"

$}'

Responses

Create功した200応答は、カーソルのAuditEventItemsオブジェクトラッププロパティとAuditEventオブジェクトの配列を返します。含まれているカーソルを使用して、さらにデータを取得したり、ポーリング プロセスを続行したりできます。

200 Returns an AuditEventItems object

400 Bad request

401 Unauthorized access

500 Internal server error

Example audit event response

{

"cursor": "aGVsbG8hIGlzIGl0IG1lIHlvdSBhcmUgbG9va2luZyBmb3IK",

"has_more": true

"items": [

{

"uuid": "56YE2TYN2VFYRLNSHKPW5NVT5E",

"timestamp": "2023-03-15T16:33:50-03:00",

"actor_uuid": "4HCGRGYCTRQFBMGVEGTABYDU2V",

"actor_details": {

"uuid:": "4HCGRGYCTRQFBMGVEGTABYDU2V",

"name": "Jeff Shiner",

"email": "[email protected]"

},

"action": "join",

"object_type": "gm",

"object_uuid": "pf8soyakgngrphytsyjed4ae3u",

"aux_id": 9277034,

"aux_uuid": "K6VFYDCJKHGGDI7QFAXX65LCDY",

"aux_details": {

"uuid": "K6VFYDCJKHGGDI7QFAXX65LCDY",

"name": "Wendy Appleseed",

"email": "[email protected]"

},

"aux_info": "R",

"session": {

"uuid": "A5K6COGVRVEJXJW3XQZGS7VAMM",

"login_time": "2023-03-15T16:33:50-03:00",

"device_uuid": "lc5fqgbrcm4plajd8mwncv2b3u",

"ip": "192.0.2.254"

},

"location": {

"country": "Canada",

"region": "Ontario",

"city": "Toronto",

"latitude": 43.5991,

"longitude": -79.4988

}

}

]

}

AuditEvent object schemas

AuditEventItems オブジェクトスキーマ

AuditEvent オブジェクトスキーマ

アクター詳細オブジェクトスキーマ

オブジェクトの詳細オブジェクトスキーマ

補助詳細オブジェクトスキーマ

セッション オブジェクトスキーマ

ロケーションオブジェクトスキーマ

POST /api/v1/itemusages

https://<base_url>/api/v1/itemusages

このエンドポイントへの POST 呼び出しは、共有保管庫内の変更、アクセス、または使用されたアイテムに関する情報を返します。イベントには、アイテムにアクセスしたユーザーの名前と IP アドレス、アイテムがアクセスされた日時、アイテムがSaveされている保管庫が含まれます。アイテムの使用アクションの詳細については、こちらをご覧ください。

このエンドポイントには、機能を備えたベアラー トークンがitemusages必要です。APIへのイントロスペクション呼び出しを実行して、トークンがサインイン イベントへのアクセスを許可されているかどうかを確認できます。

Parameters

パラメータはありません。

Requests

ベアラー トークンと必要なリクエスト ヘッダーitemusagesを含むエンドポイントの完全な URL を使用します。リクエスト本文には、 ResetCursorオブジェクトまたは以前の応答からのカーソルを含める必要があります。

Example item usage request with a reset cursor

$ curl --request POST \

--url https://base_url/api/v1/itemusages \

--header 'Authorization: Bearer YOUR_BEARER_TOKEN' \

--header 'Content-Type: application/json' \

--data '{

"limit": 100,

"start_time": "2023-03-15T16:32:50-03:00"

$ }'

Example item usage request with a continuing cursor

$ curl --request POST \

--url https://base_url/api/v1/itemusages \

--header 'Authorization: Bearer YOUR_BEARER_TOKEN' \

--header 'Content-Type: application/json' \

--data '{

"cursor": "aGVsbG8hIGlzIGl0IG1lIHlvdSBhcmUgbG9va2luZyBmb3IK"

$ }'

Responses​

200 Returns an ItemUsage response object

400 Bad request

401 Unauthorized access

500 Internal server error

Create功した200応答は、ItemUsageItemsオブジェクトラップカーソルプロパティとItemUsageオブジェクト配列を返します。含まれているカーソルを使用して、さらにデータを取得したり、ポーリング プロセスを続行したりできます。

応答には、さらにデータを取得し続けるか、次回リクエストを行うときに使うためのカーソルも含まれます。

Example item usage response

{

"cursor": "aGVsbG8hIGlzIGl0IG1lIHlvdSBhcmUgbG9va2luZyBmb3IK",

"has_more": true

"items": [

{

"uuid": "56YE2TYN2VFYRLNSHKPW5NVT5E",

"timestamp": "2023-03-15T16:33:50-03:00",

"used_version": 0,

"vault_uuid": "VZSYVT2LGHTBWBQGUJAIZVRABM",

"item_uuid": "SDGD3I4AJYO6RMHRK8DYVNFIDZ",

"user": {

"uuid": "4HCGRGYCTRQFBMGVEGTABYDU2V",

"name": "Wendy Appleseed",

"email": "[email protected]"

},

"client": {

"app_name": "1Password Browser",

"app_version": "20240",

"platform_name": "Chrome",

"platform_version": "string",

"os_name": "MacOSX",

"os_version": "13.2",

"ip_address": "192.0.2.254"

},

"location": {

"country": "Canada",

"region": "Ontario",

"city": "Toronto",

"latitude": 43.5991,

"longitude": -79.4988

},

"action": "secure-copy"

}

]

}

ItemUsage object schemas

ItemUsageItems オブジェクトスキーマ

ItemUsage オブジェクトスキーマ

ユーザー オブジェクトスキーマ

クライアント オブジェクトスキーマ

ロケーションオブジェクトスキーマ

POST /api/v1/ signinattempts

https://<base_url>/api/v1/signinattempts

このエンドポイントへの POST 呼び出しは、サインイン試行に関する情報を返します。イベントには、アカウントへのサインインを試行したユーザーの名前と IP アドレス、試行が行われた日時、失敗した試行の場合は失敗の原因が含まれます。

このエンドポイントには、機能を備えたベアラー トークンがsigninattempts必要です。APIへのイントロスペクション呼び出しを実行して、トークンがサインイン イベントへのアクセスを許可されているかどうかを確認できます。

Parameters​

パラメータはありません。

Requests

ベアラー トークンと必要なリクエスト ヘッダーsigninattemptsを含むエンドポイントの完全な URL を使用します。リクエスト本文には、 ResetCursorオブジェクトまたは以前の応答からのカーソルを含める必要があります。

Example request with a reset cursor

$ curl --request POST \

--url https://base_url/api/v1/signinattempts \

--header 'Authorization: Bearer YOUR_BEARER_TOKEN' \

--header 'Content-Type: application/json'

--data '{

"limit": 100,

"start_time": "2023-03-15T16:32:50-03:00"

$ }'

Example request with a continuing cursor

$ curl --request POST \

--url https://base_url/api/v1/signinattempts \

--header 'Authorization: Bearer YOUR_BEARER_TOKEN' \

--header 'Content-Type: application/json'

--data '{

"cursor": "aGVsbG8hIGlzIGl0IG1lIHlvdSBhcmUgbG9va2luZyBmb3IK"

$ }'

Responses​

200 Returns a SigninAttempts object

400 Bad request

401 Unauthorized access

500 Internal server error

Create功した応答は、カーソルのプロパティとオブジェクトの配列をラップするオブジェクト200を返します。含まれているカーソルを使用して、さらにデータを取得したり、ポーリング プロセスを続行したりできます。SignInAttemptItemsSignInAttempts

Example sign-in attempt response

{

"cursor": "aGVsbG8hIGlzIGl0IG1lIHlvdSBhcmUgbG9va2luZyBmb3IK",

"has_more": true,

"items": [

{

"uuid": "56YE2TYN2VFYRLNSHKPW5NVT5E",

"session_uuid": "A5K6COGVRVEJXJW3XQZGS7VAMM",

"timestamp": "2023-03-15T16:32:50-03:00",

"category": "firewall_failed",

"type": "continent_blocked",

"country": "France",

"details": {

"value": "Europe"

},

"target_user": {

"uuid": "IR7VJHJ36JHINBFAD7V2T5MP3E",

"name": "Wendy Appleseed",

"email": "[email protected]"

},

"client": {

"app_name": "1Password Browser",

"app_version": "20240",

"platform_name": "Chrome",

"platform_version": "string",

"os_name": "MacOSX",

"os_version": "13.2",

"ip_address": "192.0.2.254"

},

"location": {

"country": "Canada",

"region": "Ontario",

"city": "Toronto",

"latitude": 43.5991,

"longitude": -79.4988

}

}

]

}

SignInAttempts object schemas

SignInAttemptItems オブジェクトスキーマ

SignInAttempts オブジェクトスキーマ

詳細オブジェクトスキーマ

ユーザー オブジェクトスキーマ

クライアント オブジェクトスキーマ

ロケーションオブジェクトスキーマ

ErrorResponseオブジェクト

Example error response

{

status: 401,

message: "Unauthorized access"

}

ErrorResponse object schema