DXable製品総合情報サイト製品ニュースお問い合わせ

1Password Events ReportingとSplunk Cloud Classic Experienceを使う

1Passwordマニュアル|1Password Events ReportingとSplunk Cloud Classic Experienceを使って、アカウントの活動状況をSplunkに送信する方法を説明します。

1Password Events Reporting for Splunkアドオンを使用して、1PasswordアカウントのアクティビティーをSplunkに送信する方法を紹介します。

ヒント Splunk EnterpriseまたはSplunk Cloud Victoria Experienceを使用している場合は、1Password Events Reportingを開始する方法が異なります。使用しているSplunk Cloudのバージョンが分からない場合は、Platform Experienceを確認してください。

1Password Businessでは、1Password Events Reporting for Splunkアドオンを使用してアカウントアクティビティーをSplunkに送信できます。サインイン試行やアイテムの使用状況などの1Passwordアクティビティーに関するレポートを取得し、会社の全てのアプリケーションとサービスを一元的に管理できます。

1Password Events ReportingとSplunkを使用すると、次のことが可能になります。

  • 1Passwordのデータ保持を管理する

  • カスタムグラフとダッシュボードを構築する

  • 特定のアクションをトリガーするカスタムアラートを設定する

  • 1Passwordのイベントを他のサービスのデータと相互参照する

所有者または管理者の場合は、Events Reportingを設定できます。

Splunk Cloud Classic Experienceで1Password Events Reporting for Splunkアドオンを使用するには、Inputs Data Manager(IDM)も必要です。IDMをお持ちでない場合は、Splunkサポートに連絡してプロビジョニングを依頼してください。

cog

インデックスをCreateする

1Passwordアドオンを設定する

サーチマクロをCreateする

ステップ1:イベントの種類ごとにインデックスをCreateする

ヘルプ 各イベントタイプごとにインデックスをCreateするのではなく、メインでインデックスをCreateする場合は、1Passwordアドオンを設定する手順に進んでください。

Splunk Web にサインインし、レポートを取得するイベントタイプごとにインデックスをCreateします。複数のインデックスをCreateする場合は、これらの手順を繰り返します。

  1. Splunkバーの[Settings]をクリックし、データセクションから[Indexes]を選択します。

  2. [New Index]をクリックし、インデックス名を入力します。他の全てのフィールドはデフォルト値のままにすることも、必要に応じてカスタム値を入力することもできます。

  3. [Save]をクリックします。

ステップ2:1Passwordアドオンを設定する

アドオンをインストールするには、 Splunkのサポートにお問い合わせください

1Password Events Reporting for Splunkアドオンを設定する前に、SplunkサーチヘッドとIDMにインストールする必要があります。Splunk Splunk Cloud Classic Experienceはセルフサービスインストールをサポートしていないため、Splunkサポートに連絡してアドオンをインストールしてもらう必要があります。

  1. Splunk.comのアカウントにサインインします。

  2. [Support]メニューをクリックし、[Support Portal]を選択します。

  3. サイドバーの[Submit a Case]をクリックし、[Cloud App/Add-on Requests]を選択して、必要な全てのフィールドに入力します。 Cloud Maintenance Request: Installを選択します。 App or Add-on:“1Password Events Reporting for Splunk add-on”と入力します。 Select Cloud Stack:クラウドスタックを選択します。 Expected Install Location: SearchheadとInputs Data Manager の両方を選択します。 Description:インストールに必要な詳細を追加します。以下の内容を必ず含めてください。 • サーチヘッドで設定フラグと入力を無効にする必要があります。isConfiguredフラグをtrueに設定するようにリクエストしてください。 • 1Passwordイベントタイプ用に独自のインデックスをCreateした場合は、IDM にアドオンをインストールした後、 Splunkサポートにインデックス設定の同期を依頼してください。

Splunkサポートが1Passwordアドオンをインストールし、インデックスを同期したら、設定を完了できます。

アドオンを設定してそれをお使いの1Passwordアカウントに接続します

IDM のSplunk Webにサインインします。サイドバーのアプリメニューの横にある歯車ボタンをクリックし、 1Password Events Reporting for Splunkアドオンを検索します。Actions列から[Set up]をクリックし、次の手順に従います。

  • ① [Generate an Events API token]をクリックします。新しいブラウザータブまたはウィンドウが開きます。

  • ② 1Passwordアカウントにサインインします。

  • ③ インテグレーション対象のシステム名を入力するか、デフォルトの提案を使用するかして、 「Add Integration」をクリックします。

  • ④ ベアラートークンの名前を入力(またはデフォルトの提案を使用)し、有効期限を選択します。

  • ⑤ トークンがアクセスできるイベントタイプを選択または選択解除し、[Isssue Token]をクリックします。

  • ⑥[Save in 1Password]をクリックし、トークンをSaveする保管庫を選択します。次に、トークンをコピーします。

  • ⑦ あなたのIDMのSplunk Webで、 1Password.comからコピーしたトークンを入力し、[Next]をクリックします。

  • ⑧ 各イベントタイプに使用するインデックスを選択します。[Submit]をクリックし、[Finish]をクリックします。

ステップ3:サーチマクロをCreateする

あなたのサーチヘッドのSplunk Webにサインインして、各イベントタイプのサーチマクロをCreateします。複数のイベントタイプのサーチマクロをCreateする場合は、これらの手順を繰り返します。

  • ① Splunkバーの[Settings]をクリックし、Knowledgeセクションから[Advanced Search]を選択します。

  • ②「Search macros」の横にある[Add new]をクリックします。

  • ③ Configure the destination app, name, and definition for the macro: Destination app: Choose onepassword_events_api from the list. Name: Enter a name for the search macro: ③ マクロのSave先アプリ、名前、定義を設定します。

    • Destination app:リストからonepassword_events_apiを選択します。 Name:サーチマクロの名前を入力します。

      • 監査イベントの場合は、 1password_audit_events_indexと入力します。

      • アイテム使用イベ​​ントの場合は、 1password_item_usages_indexと入力します。

      • サインイン試行イベントの場合は、 1password_signin_attempts_indexと入力します。

    • Definition:インデックスの定義を入力します。「main」にインデックスをCreateした場合は、「index=main」と入力します。イベントタイプごとにインデックスをCreateした場合は、そのインデックスの定義を入力します。

      • 監査イベントの場合は、 index=onepassword_audit_eventsと入力します。

      • アイテム使用イベ​​ントの場合は、 index=onepassword_item_usagesと入力します。

      • サインイン試行イベントの場合は、 index=onepassword_signin_attemptsと入力します。

  • ④[Save]をクリックし、CreateしたサーチマクロのSharing列から[Paemissions]を選択し、[This app only (onepassword_events_api)]を選択します。

  • ⑤ 各ロールの権限を選択し、[Save]をクリックします。

  • 読み取り権限は全てのロールに付与する必要があります。書き込み権限は、管理者の役割とそれを必要とするその他の全ユーザーに付与する必要があります。

全ての検索は、IDMではなくサーチヘッドで実行する必要があります。 Splunkを使用して1Passwordアカウントのイベントを監視できるようになりました。

付録:あなたのSplunk Cloud Platform Experienceを決定する

付録:1Passwordイベントタイプのリスト

イベントタイプ

インデックス名

説明

監査イベント

onepassword_audit_events

アカウント、保管庫、グループ、ユーザーなどに加えられた変更など、1Passwordアカウントでチームメンバーが実行したアクションに関する情報を返します。

アイテムの使用

onepassword_item_usages

共有保管庫内で変更、アクセス、または使用されたアイテムに関する情報を返します。

サインイン試行回数

onepassword_signin_attempts

サインイン試行(Create功および失敗)に関する情報を返します。

付録:ベアラートークンの発行または取り消し

ベアラートークンを発行する

  • ① 1Password.comのアカウントにサインインし、サイドバーの[Integarations]をクリックします。

  • ② トークンを発行するEvents Reporting統合を選択し、[Add a token]をクリックします。

  • ③ ベアラートークンの名前を入力し、有効期限を選択します。トークンがアクセスできるイベントタイプを選択し、[Issue Token]をクリックします。

  • ④[Save in 1Password]をクリックし、トークンをSaveする保管庫を選択します。次に、 [View Integration Details]をクリックします。

ベアラートークンを取り消す(Revokeする)

重要

トークンが取り消されると、 Splunkはイベントの取り込みを停止します。ダウンタイムを最小限に抑えるには、トークンを取り消す前に代わりのトークンを発行してください。

  • ① 1Password.comのアカウントにサインインし、サイドバーの「統合」をクリックします。

  • ② トークンを取り消すEvents Reporting統合を選択します。 ③取り消したいトークンの横にある歯車ボタンをクリックし、[Revoke]をクリックします。

Splunkでベアラートークンを更新する

1Passwordでベ​​アラートークンを発行する場合は、Splunkでトークンを更新する必要があります。1Passwordからトークンをコピーしておき、以下の手順に従います。

  • ① Splunk Webでアカウントにサインインします。 ② サイドバーの「Apps」メニューの横にある歯車ボタンをクリックします。 ③ 1Password Events Reporting for Splunkアドオンを検索し、Actions列から[Launch app]をクリックします。 ④ 「Configurations」タブをクリックし、[I already have my Events API token]をクリックします。 ⑤ 先ほどコピーしたベアラートークンを貼り付けて、[Next]をクリックします。 ⑥ トークンがアクセスできるイベントタイプを選択または選択解除し、各イベントタイプに使用するインデックスを選択します。 ⑦[Submit]をクリックし、[Finish]をクリックします。

ヘルプを受ける

トークンがアクセスできるイベント タイプを変更するには、新しいトークンを発行し、 Splunkでトークンを更新します。

Events Reportingに関するサポートを受けたり、フィードバックを共有したりするには、 1Password Businessチーム([email protected])にお問い合わせください。

もっと詳しく知るには

Previous1PasswordEvents ReportingとElasticを使い始めるNext1PasswordEvents ReportingとSplunk EnterpriseまたはSplunk Cloud Victoria Experienceを使い始めましょう

Last updated