1PasswordEvents ReportingとElasticを使い始める
1Passwordマニュアル|チームとビジネス向けに、1PasswordEvents ReportingとElasticの活用法を解説します。
Previous1PasswordEvents Reportingを使い始めるNext1Password Events ReportingとSplunk Cloud Classic Experienceを使う
Last updated
1Passwordマニュアル|チームとビジネス向けに、1PasswordEvents ReportingとElasticの活用法を解説します。
Last updated
1Password Events API Beat を使用して1PasswordアカウントのアクティビティをElasticsearchに送信する方法を紹介します。
1Password Businessでは、 1Password Events API Beat を使用してアカウントアクティビティをElasticsearchに送信できます。サインイン試行、アイテムの使用状況、監査イベントなどの1Passwordアクティビティに関するレポートを取得し、会社のすべてのアプリケーションとサービスを一元的に管理できます。1Password Events ReportingとElastic を1Passwordすると、次のことが可能になります。
1Passwordのデータ保持を管理する
カスタムグラフとダッシュボードを構築する
特定のアクションをトリガーするカスタムアラートを設定する
1Passwordのイベントを他のサービスのデータと相互参照する
所有者、管理者、またはView Administrative Sidebar権限を持つグループのメンバーであれば、Events Reportingを設定できます。
開始するには、 1Passwordアカウントにサインインし、サイドバーの「統合」をクリックして、 「Elastic」を選択します。
次に、次の手順に従って、 Elastic統合を1Passwordアカウントに追加し、ベアラー JSON Web トークンをCreateします。
統合の名前を入力し、 「Add Integration」をクリックします。
ベアラー トークンの名前を入力し、有効期限を選択します。トークンがアクセスできるイベント タイプを選択し、 [Tokenの発行] をクリックします。
Save in 1Password」をクリックし、トークンをSaveする保管庫を選択します。次に、 「View Integration Details」をクリックします。
これで、ベアラー トークンを使用して、 Elasticsearchで1Password Events API Beat を認証できるようになりました。
ベアラートークンはいつでも発行または取り消すことができます。
1Password Elastic統合または1Password Events API Beat のいずれかを使用して、 1PasswordアカウントをElasticに接続できます。
事前設定されたKibanaダッシュボードを使用して1Passwordアカウントのイベントを監視する場合は、 Elastic統合を使用する手順に従ってください。
コマンドラインからリクエストを実行して、 1PasswordアカウントからElasticsearchにイベント情報を送信する場合は、 Events API Beat を使用する手順に従ってください。
1Password Elastic統合には、少なくとも 1 つのElastic Agentがインストールおよび登録されたElastic StackとKibana 7.16 以降が必要です。
ステップ1: 1Password統合を追加する
Kibanaインスタンスにサインインし、ホームページに移動します。
メニューを開き、 「Management > Add integrations」に移動します。
統合リストから1Password を選択し、 「1Passwordを追加」を選択します。
ステップ2: 1Password統合を設定する
1Password統合を追加した後、「統合の構成」セクションで設定を調整する必要があります。
統合を識別するには、次のフィールドに入力します。
統合名: 統合の名前を入力します。たとえば、1password などです。
説明: (オプション) 統合の説明を入力します。
1Password Events APIからイベントを収集する設定がオンになっていることを確認し、次のフィールドに入力します。
1Password Events APIサーバーの URL:Events API URL を入力します。例: <a href="https://events.1password.com">https://events.1password.com</a> 。
1Password Authorization Token: 1Passwordアカウントで統合を設定したときにSaveしたベアラー トークンを入力します。
次の1Passwordイベントの 1 つ以上がオンになっていることを確認します。
1Password監査イベントを収集する
1Passwordアイテムの使用イベントを収集する
1Passwordのサインイン試行イベントを収集する
収集対象として選択したイベントは、ベアラー トークンのCreate時に選択したイベントと一致する必要があります。収集したくないイベント タイプがオンになっている場合は、オフにします。
(オプション) 元のイベントの生のコピーを保持する場合は、イベント タイプに対して [元のイベントを保持] をオンにします。
(オプション) イベント タイプのデフォルト設定を調整する場合は、そのイベントの詳細オプションを選択します。次のフィールドを変更できます。
制限*: 各リクエストで取得するイベントの数を調整します。デフォルトの制限は 1000 です。
1Password Events APIをクエリする間隔 *: GO 期間構文を使用してクエリ間隔を調整します。デフォルトの間隔は 10 秒です。
タグ: (オプション) フィルタリングや操Createの実行に役立つタグを追加します。
ステップ3: Elasticエージェントポリシーを選択する
Elasticエージェント ポリシーは、 Elastic Agentが収集するデータを定義します。[この統合を追加する場所] セクションで、次の手順に従います。
統合に使用するエージェント ポリシーを選択します。
新しいエージェント ポリシーをCreateする場合は、[新しいホスト] を選択し、ポリシーの名前を入力します。
保存済みのポリシーを使用する場合は、「保存済みのホスト」を選択し、使用するエージェント ポリシーを選択します。
「Saveして続行」を選択します。
[変更をSaveして展開] を選択し、変更がSaveされるまでしばらく待ちます。
1Password統合はインストールされた統合に含まれるようになり、統合に組み込まれたKibanaダッシュボードにアクセスして、 1Passwordアカウントからのイベントを監視できるようになります。返されるデータは、 Elastic Common Schema仕様に従います。
Elastic Agents のインストール方法について詳しくは、こちらをご覧ください。
1Password Events API Beat は、Events APIへのリクエストを通じて1Passwordから情報を返し、そのデータを安全にElasticsearchに送信します。リクエストはベアラー トークンで認証されます。使用するアプリケーションまたはサービスごとにトークンを発行します。
1PasswordアカウントをElasticに接続するには:
1Password GitHubリポジトリから1Password Events API Elastic Beat をダウンロードしてインストールします。
eventsapibeat-sample.yml 構成ファイルの名前を eventsapibeat.yaml に変更します。
Beat の YAML ファイルを設定します。
監視する1Passwordイベント タイプごとに、auth_token フィールドにベアラー トークンを追加します。
必要に応じてその他の構成オプションをカスタマイズします。
次のコマンドを実行します。
./eventsapibeat -c eventsapibeat.yml -e ./eventsapibeat -c eventsapibeat.yml -e
5. これで、 Elasticsearch を1Password Events API Beat と組み合わせて使用し、 1Passwordアカウントのイベントを監視できるようになりました。返されるデータはElastic Common Schema仕様に従います。
トークンを発行するEvents Reporting統合を選択し、 「Add a token」をクリックします。
ベアラー トークンの名前を入力し、有効期限を選択します。トークンがアクセスできるイベント タイプを選択し、 [Tokenの発行] をクリックします。
Save in 1Password」をクリックし、トークンをSaveする保管庫を選択します。次に、 「View Integration Details」をクリックします。
トークンを取り消すEvents Reporting統合を選択します。
取り消したいトークンの横にある歯車ボタンをクリックし、「取り消し」をクリックします。
1Passwordで新しいベアラートークンを発行する場合は、eventsapibeat.yml ファイルでトークンを更新し、Beat を再起動する必要があります。
アカウントがオンになっている場合:
Events API URL は次のとおりです:
1Password.com
<a href="https://events.1password.com">https://events.1password.com</a> (1Password Business)
<a href="https://events.ent.1password.com">https://events.ent.1password.com</a> (1Password Enterprise)
1Password.ca
https://events.1password.ca
1Password.eu
https://events.1password.eu
イベントタイプ
説明
監査イベント
アカウント、保管庫、グループ、ユーザーなどに加えられた変更など、 1Passwordアカウントでチーム メンバーが実行したアクションに関する情報を返します。
アイテムの使用
共有保管庫内で変更、アクセス、または使用されたアイテムに関する情報を返します。
サインイン試行回数
サインイン試行 (Create功および失敗) に関する情報を返します。
トークンがアクセスできるイベント タイプを変更するには、新しいトークンを発行します。
Events Reportingに関するサポートを受けたり、フィードバックを共有したりするには、 1Password Businessチームにお問い合わせください。
Processors: (Optional) to parse, filter, transform, and enrich data at the source. * 1Password Events API to 600 per minute and 30,000 per hour. プロセッサ: (オプション) ソースでデータを解析、フィルタリング、変換、強化するためのプロセッサを追加します。 * 1Password Events API、リクエストが 1 分あたり 600 件、1 時間あたり 30,000 件に制限されます。
重要: トークンが取り消されると、 Elasticsearch はイベントの取り込みを停止します。ダウンタイムを最小限に抑えるには、トークンを取り消す前に代わりのトークンを発行してください。
