1Passwordマニュアル|1Password Events ReportingとSplunk Cloud Classic Experienceを使って、アカウントの活動状況をSplunkに送信する方法を説明します。
Last updated
1Password Events Reporting for Splunkアドオンを使用して、1PasswordアカウントのアクティビティーをSplunkに送信する方法を紹介します。
ヒント Splunk EnterpriseまたはSplunk Cloud Victoria Experienceを使用している場合は、
1Password Businessでは、1Password Events Reporting for Splunkアドオンを使用してアカウントアクティビティーをSplunkに送信できます。サインイン試行やアイテムの使用状況などの1Passwordアクティビティーに関するレポートを取得し、会社の全てのアプリケーションとサービスを一元的に管理できます。
1Password Events ReportingとSplunkを使用すると、次のことが可能になります。
1Passwordのデータ保持を管理する
カスタムグラフとダッシュボードを構築する
特定のアクションをトリガーするカスタムアラートを設定する
1Passwordのイベントを他のサービスのデータと相互参照する
所有者または管理者の場合は、Events Reportingを設定できます。
Splunk Cloud Classic Experienceで1Password Events Reporting for Splunkアドオンを使用するには、Inputs Data Manager(IDM)も必要です。IDMをお持ちでない場合は、Splunkサポートに連絡してプロビジョニングを依頼してください。
インデックスをCreateする
1Passwordアドオンを設定する
サーチマクロをCreateする
Splunkバーの[Settings]をクリックし、データセクションから[Indexes]を選択します。
[New Index]をクリックし、インデックス名を入力します。他の全てのフィールドはデフォルト値のままにすることも、必要に応じてカスタム値を入力することもできます。
[Save]をクリックします。
1Password Events Reporting for Splunkアドオンを設定する前に、SplunkサーチヘッドとIDMにインストールする必要があります。Splunk Splunk Cloud Classic Experienceはセルフサービスインストールをサポートしていないため、Splunkサポートに連絡してアドオンをインストールしてもらう必要があります。
[Support]メニューをクリックし、[Support Portal]を選択します。
サイドバーの[Submit a Case]をクリックし、[Cloud App/Add-on Requests]を選択して、必要な全てのフィールドに入力します。 Cloud Maintenance Request: Installを選択します。 App or Add-on:“1Password Events Reporting for Splunk add-on”と入力します。 Select Cloud Stack:クラウドスタックを選択します。 Expected Install Location: SearchheadとInputs Data Manager の両方を選択します。 Description:インストールに必要な詳細を追加します。以下の内容を必ず含めてください。 • サーチヘッドで設定フラグと入力を無効にする必要があります。isConfiguredフラグをtrueに設定するようにリクエストしてください。 • 1Passwordイベントタイプ用に独自のインデックスをCreateした場合は、IDM にアドオンをインストールした後、 Splunkサポートにインデックス設定の同期を依頼してください。
Splunkサポートが1Passwordアドオンをインストールし、インデックスを同期したら、設定を完了できます。
アドオンを設定してそれをお使いの1Passwordアカウントに接続します
① [Generate an Events API token]をクリックします。新しいブラウザータブまたはウィンドウが開きます。
② 1Passwordアカウントにサインインします。
③ インテグレーション対象のシステム名を入力するか、デフォルトの提案を使用するかして、 「Add Integration」をクリックします。
④ ベアラートークンの名前を入力(またはデフォルトの提案を使用)し、有効期限を選択します。
⑤ トークンがアクセスできるイベントタイプを選択または選択解除し、[Isssue Token]をクリックします。
⑥[Save in 1Password]をクリックし、トークンをSaveする保管庫を選択します。次に、トークンをコピーします。
⑦ あなたのIDMのSplunk Webで、 1Password.comからコピーしたトークンを入力し、[Next]をクリックします。
⑧ 各イベントタイプに使用するインデックスを選択します。[Submit]をクリックし、[Finish]をクリックします。
あなたのサーチヘッドのSplunk Webにサインインして、各イベントタイプのサーチマクロをCreateします。複数のイベントタイプのサーチマクロをCreateする場合は、これらの手順を繰り返します。
① Splunkバーの[Settings]をクリックし、Knowledgeセクションから[Advanced Search]を選択します。
②「Search macros」の横にある[Add new]をクリックします。
③ Configure the destination app, name, and definition for the macro: Destination app: Choose onepassword_events_api from the list. Name: Enter a name for the search macro: ③ マクロのSave先アプリ、名前、定義を設定します。
Destination app:リストからonepassword_events_apiを選択します。 Name:サーチマクロの名前を入力します。
監査イベントの場合は、 1password_audit_events_indexと入力します。
アイテム使用イベントの場合は、 1password_item_usages_indexと入力します。
サインイン試行イベントの場合は、 1password_signin_attempts_indexと入力します。
Definition:インデックスの定義を入力します。「main」にインデックスをCreateした場合は、「index=main」と入力します。イベントタイプごとにインデックスをCreateした場合は、そのインデックスの定義を入力します。
監査イベントの場合は、 index=onepassword_audit_eventsと入力します。
アイテム使用イベントの場合は、 index=onepassword_item_usagesと入力します。
サインイン試行イベントの場合は、 index=onepassword_signin_attemptsと入力します。
④[Save]をクリックし、CreateしたサーチマクロのSharing列から[Paemissions]を選択し、[This app only (onepassword_events_api)]を選択します。
⑤ 各ロールの権限を選択し、[Save]をクリックします。
読み取り権限は全てのロールに付与する必要があります。書き込み権限は、管理者の役割とそれを必要とするその他の全ユーザーに付与する必要があります。
全ての検索は、IDMではなくサーチヘッドで実行する必要があります。 Splunkを使用して1Passwordアカウントのイベントを監視できるようになりました。
イベントタイプ
インデックス名
説明
監査イベント
onepassword_audit_events
アカウント、保管庫、グループ、ユーザーなどに加えられた変更など、1Passwordアカウントでチームメンバーが実行したアクションに関する情報を返します。
アイテムの使用
onepassword_item_usages
共有保管庫内で変更、アクセス、または使用されたアイテムに関する情報を返します。
サインイン試行回数
onepassword_signin_attempts
サインイン試行(Create功および失敗)に関する情報を返します。
② トークンを発行するEvents Reporting統合を選択し、[Add a token]をクリックします。
③ ベアラートークンの名前を入力し、有効期限を選択します。トークンがアクセスできるイベントタイプを選択し、[Issue Token]をクリックします。
④[Save in 1Password]をクリックし、トークンをSaveする保管庫を選択します。次に、 [View Integration Details]をクリックします。
トークンが取り消されると、 Splunkはイベントの取り込みを停止します。ダウンタイムを最小限に抑えるには、トークンを取り消す前に代わりのトークンを発行してください。
① 1Password.comのアカウントにサインインし、サイドバーの「統合」をクリックします。
Events Reportingに関するサポートを受けたり、フィードバックを共有したりするには、 1Password Businessチーム(business@1password.com)にお問い合わせください。
ヘルプ 各イベントタイプごとにインデックスをCreateするのではなく、メインでインデックスをCreateする場合は、
Splunk Web にサインインし、レポートを取得するイベントタイプごとにします。複数のインデックスをCreateする場合は、これらの手順を繰り返します。
IDM のSplunk Webにサインインします。サイドバーのアプリメニューの横にある歯車ボタンをクリックし、 1Password Events Reporting for Splunkアドオンを検索します。Actions列から[Set up]をクリックし、次の手順に従います。
① 1Password.comのアカウントにし、サイドバーの[]をクリックします。
重要
② トークンを取り消すEvents Reporting統合を選択します。 ③取り消したいトークンの横にある歯車ボタンをクリックし、[Revoke]をクリックします。
1Passwordで場合は、Splunkでトークンを更新する必要があります。1Passwordからトークンをコピーしておき、以下の手順に従います。
① Splunk Webでアカウントにサインインします。 ② サイドバーの「Apps」メニューの横にある歯車ボタンをクリックします。 ③ 1Password Events Reporting for Splunkアドオンを検索し、Actions列から[Launch app]をクリックします。 ④ 「Configurations」タブをクリックし、[I already have my Events API token]をクリックします。 ⑤ 先ほどコピーしたベアラートークンを貼り付けて、[Next]をクリックします。 ⑥ トークンがアクセスできるイベントタイプを選択または選択解除し、各イベントタイプに使用するインデックスを選択します。 ⑦[Submit]をクリックし、[Finish]をクリックします。
トークンがアクセスできるイベント タイプを変更するには、し、 します。
