1Password 로그

개요

Panther는 1Password 이벤트 로그를 다음을 통해 가져옵니다 1Password 이벤트 API 매 1분마다. Panther는 특히 다음 1Password 이벤트를 모니터링합니다:

• 사용자 1Password 계정에서의 로그인 시도

• 공유 금고의 항목이 수정, 액세스 또는 사용된 경우

• 활동 로그의 감사 이벤트

Panther는 장치가 오프라인일 때 생성된 1Password 이벤트를 수집합니다.

1Password 로그를 Panther에 온보딩하는 방법

Panther에서 1Password를 로그 소스로 설정하려면 1Password 계정에서 액세스 토큰을 생성한 다음 Panther에서 1Password 로그 소스를 구성해야 합니다.

단계 1: 1Password에서 액세스 토큰 생성

1. 로그인 하여 1Password 계정에 접속한 다음 클릭 통합 사이드바에서.

2. 클릭 디렉터리 페이지 상단의.

3. 아래로 스크롤하여 "이벤트 보고(Events Reporting)" 섹션으로 이동한 다음 클릭 팬서.

4. 입력하세요 시스템 이름 통합에 대해 그런 다음 클릭 통합 추가.

5. 베어러 토큰의 이름을 입력하고 토큰 만료 기간을 선택하세요.

6. 토큰이 액세스할 이벤트 유형을 선택하세요:

   • 로그인 시도

     • 이 옵션을 선택하면 OnePassword.SignInAttempt 이벤트를 Panther로 수집할 수 있습니다.

   • 항목 사용 이벤트

     • 이 옵션을 선택하면 OnePassword.ItemUsage 이벤트를 Panther로 수집할 수 있습니다.

   • 감사 이벤트

     • 이 옵션을 선택하면 OnePassword.AuditEvent 이벤트를 Panther로 수집할 수 있습니다.

7. 클릭 토큰 발급 을(를) 클릭하여 액세스 토큰 키를 생성하세요.

   • 1Password 베어러 토큰 발급 또는 취소에 대한 추가 정보는 1Password 문서.

8. 클릭 에 설명되어 있습니다. 1Password에 저장

9. 클릭 하고 토큰을 저장할 금고를 선택하세요. 통합 세부정보 보기

   • 에서 토큰을 확인하세요.

다음 단계에서 이 토큰이 필요합니다.

1. Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.

2. 클릭 새로 만들기.

3. 단계 2: Panther에서 새 1Password 로그 소스 생성

4. 슬라이드 아웃 패널에서 클릭하세요 설정 시작.

5. “1Password”를 검색한 다음 해당 타일을 클릭하세요. 다음 화면에서 소스 이름을 입력하세요 예: .

6. 클릭 설정.

7. 페이지에서 자격 증명 페이지에서 양식을 작성하세요:

   • 로 설정하지 않을 것을 강력히 권장합니다 내 1Password 로그 액세스 토큰 키

   • 을(를) 1Password 계정에서 복사하여 액세스 토큰 필드에 붙여넣으세요.

8. 클릭 설정. 성공 화면으로 이동합니다:\

   

   • 선택적으로 하나 이상의 탐지 팩(Detection Packs).

   • 설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 예. 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

     

Panther 제작 탐지 규칙

Panther의 내장된 1Password의 UUID(범용 고유 식별자) 값을 사람이 읽을 수 있는 이름으로 변환하는 방법에 대해..

지원되는 로그 유형

OnePassword.ItemUsage

Github의 panther-analysis에 있는 1Password 규칙 이들은 1Password 항목 사용 이벤트입니다. 자세한 내용은.

OnePassword.SignInAttempt

설명: 항목에 액세스한 IP 주소입니다. 이들은 1Password 항목 사용 이벤트입니다. 자세한 내용은.

OnePassword.AuditEvent

설명: 이벤트가 발생한 장소의 위도입니다. 이들은 활동 로그의 1Password 감사 이벤트입니다. 자세한 내용은.