1PasswordEvents ReportingとSplunk EnterpriseまたはSplunk Cloud Victoria Experienceを使い始めましょう
1Passwordマニュアル|1PasswordEvents ReportingとSplunkを使い始め、アカウントのアクティブ化方法を説明します。
Last updated
1Passwordマニュアル|1PasswordEvents ReportingとSplunkを使い始め、アカウントのアクティブ化方法を説明します。
Last updated
1Password Businessでは、 1Password Events Reporting for Splunkアドオンを使用してアカウント アクティビティをSplunkに送信できます。サインイン試行やアイテムの使用状況などの1Passwordアクティビティに関するレポートを取得し、会社のすべてのアプリケーションとサービスを一元的に管理できます。
1PasswordEvents ReportingとSplunk を使用すると、次のことが可能になります。
1Passwordのデータ保持を管理する
カスタムグラフとダッシュボードを構築する
特定のアクションをトリガーするカスタムアラートを設定する
1Passwordのイベントを他のサービスのデータと相互参照する
所有者または管理者の場合は、Events Reportingを設定できます。
開始するには、 Splunk Webにサインインし、次の手順に従ってください。
HELPIf you want to index on main instead of creating an index for each event type, you can skip to the steps to . ヘルプ
各イベント タイプごとにインデックスをCreateするのではなく、メインでインデックスをCreateする場合は、 1Passwordアドオンを設定する手順に進んでください。
レポートを取得するイベント タイプごとに、 Splunk WebでインデックスをCreateします。複数のインデックスをCreateする場合は、これらの手順を繰り返します。
➀ Splunkバーの[Settings] をクリックし、データ セクションから [インデックス] を選択します。
② 「New Index」をクリックし、インデックス名を入力します。他のすべてのフィールドはデフォルト値のままにしておくことも、 Splunk EnterpriseまたはSplunk Cloud の必要に応じてカスタム値を入力することもできます。
③「Save」をクリックします。
① 「Events APIトークンの生Create」をクリックします。新しいブラウザータブまたはウィンドウが開きます。
② 1Passwordアカウントにサインインします。
③ 統合のシステム名を入力するか、デフォルトの提案を使用するかして、 「Add Integration」をクリックします。
④ ベアラートークンの名前を入力(またはデフォルトの提案を使用)し、有効期限を選択します。
⑤ トークンがアクセスできるイベントタイプを選択または選択解除し、 「Tokenの発行」をクリックします。
⑥ Save in 1Password」をクリックし、トークンをSaveする保管庫を選択します。次に、トークンをコピーします。
⑦ Splunk Webで、 1Password.comからコピーしたトークンを入力し、「次へ」をクリックします。
⑧ 各イベントタイプに使用するインデックスを選択します。「送信」をクリックし、「完了」をクリックします。
分散型Splunk Enterpriseデプロイメントでフォワーダーを使用している場合は、フォワーダーにアドオンもインストールする必要があります。
各イベント タイプに対してSplunk Webで検索マクロをCreateします。複数のイベント タイプに対して検索マクロをCreateする場合は、これらの手順を繰り返します。
Splunkバーの[Settings]をクリックし、ナレッジ セクションから[Advanced Search]を選択します。
「Search macros」の横にある「新規追加」をクリックします。
Configure the destination app, name, and definition for the macro: Destination app: Choose onepassword_events_api from the list. Name: Enter a name for the search macro: マクロの宛先アプリ、名前、定義を構成します。 宛先アプリ: リストからonepassword_events_apiを選択します。 名前: 検索マクロの名前を入力します。
監査イベントの場合は、 1password_audit_events_indexと入力します。
アイテム使用イベントの場合は、 1password_item_usages_indexと入力します。
サインイン試行イベントの場合は、 1password_signin_attempts_indexと入力します。
定義: インデックスの定義を入力します。メインにインデックスをCreateした場合は、 index=mainと入力します。イベント タイプごとにインデックスをCreateした場合は、そのインデックスの定義を入力します。
監査イベントの場合は、 index=onepassword_audit_eventsと入力します。
アイテム使用イベントの場合は、 index=onepassword_item_usagesと入力します。
サインイン試行イベントの場合は、 index=onepassword_signin_attemptsと入力します。
[Save] をクリックし、Createした検索マクロの [共有] 列から [権限] を選択し、[このアプリのみ (onepassword_events_api)] を選択します。
Select the permissions for each role, then click Save. Read permission should be given to every role. Write permission should be given to the admin role and anyone else who needs it. 各ロールの権限を選択し、[Save] をクリックします。読み取り権限はすべての役割に付与する必要があります。書き込み権限は、管理者ロールとそれを必要とするその他のユーザーに付与する必要があります。
Splunk を使用して1Passwordアカウントのイベントを監視できるようになりました。
使用しているSplunk Cloud のバージョンがわからない場合は、Platform Experienceを確認してください。
エクスペリエンスがリストに表示されない場合は、バージョンを確認してください。8.1 以前を使用している場合は、Classic Experienceを使用しているため、 1PasswordEvents Reportingを開始する別の方法があります。
イベントタイプ
インデックス名
説明
監査イベント
パスワード監査イベント
アカウント、保管庫、グループ、ユーザーなどに加えられた変更など、 1Passwordアカウントでチーム メンバーが実行したアクションに関する情報を返します。
アイテムの使用
パスワードアイテムの使用法
共有保管庫内で変更、アクセス、または使用されたアイテムに関する情報を返します。
サインイン試行
パスワードのサインイン試行回数
サインイン試行 (Create功および失敗) に関する情報を返します。
① 1Password.comのアカウントにサインインし、サイドバーの「統合」をクリックします。
② トークンを発行するEvents Reporting統合を選択し、 「Add a token」をクリックします。
③ ベアラートークンの名前を入力し、有効期限を選択します。トークンがアクセスできるイベントタイプを選択し、 「Tokenの発行」をクリックします。
④ Save in 1Password」をクリックし、トークンをSaveする保管庫を選択します。次に、 「View Integration Details」をクリックします。
トークンが取り消されると、 Splunk はイベントの取り込みを停止します。ダウンタイムを最小限に抑えるには、トークンを取り消す前に代わりのトークンを発行してください。
① 1Password.comのアカウントにサインインし、サイドバーの「統合」をクリックします。
② トークンを取り消すEvents Reporting統合を選択します。
1Passwordでベアラートークンを発行する場合は、 Splunkでトークンを更新する必要があります。 1PasswordからトークンをCopy、次の手順に従います。
① Splunk Webにサインインします。
③ 1Password Events Reporting for Splunkアドオンを検索し、「アクション」列から「アプリの起動」をクリックします。
④ 「構成」タブをクリックし、 「Events APIトークンをすでに持っています」をクリックします。
⑤ 先ほどコピーしたベアラートークンを貼り付けて、「次へ」をクリックします。
⑥ トークンがアクセスできるイベントタイプを選択または選択解除し、各イベントタイプに使用するインデックスを選択します。
⑦「送信」をクリックし、「完了」をクリックします。
トークンがアクセスできるイベント タイプを変更するには、新しいトークンを発行し、 Splunkでトークンを更新します。
Events Reportingに関するサポートを受けたり、フィードバックを共有したりするには、 1Password Businessチームにお問い合わせください。
重要
③ Click the gear button next to the token you want to revoke, then click Revoke. ③取り消したいトークンの横にある歯車ボタンをクリックし、「取り消し」をクリックします。
② Click the gear button next to the Apps menu in the sidebar. ② サイドバーの「アプリ」メニューの横にある歯車ボタンをクリックします。
