# 1Password 로그
## 개요
Panther는 다음을 통해 1Password 이벤트 로그를 가져옵니다 [1Password Events API](https://support.1password.com/events-api-reference/) 매 1분마다. Panther는 특히 다음 1Password 이벤트를 모니터링합니다:
* 사용자의 1Password 계정에서의 로그인 시도
* 수정되거나, 접근되거나, 사용된 공유 볼트의 항목
* Activity Log의 감사 이벤트
Panther는 장치가 오프라인 상태였을 때 생성된 1Password 이벤트를 수집합니다.
{% hint style="info" %}
다음을 유발하는 작업이 발생한 시점부터 최대 하루의 지연이 있을 수 있습니다 [OnePassword.ItemUsage](#onepassword.itemusage) 이벤트가 발생한 시점부터 로그가 Panther에 수집되는 시점까지. Panther는 이벤트를 사용 가능해지는 즉시 가져오지만, 일부 장치는 하루에 한두 번만 1Password에 동기화됩니다.
{% endhint %}
## 1Password 로그를 Panther에 온보딩하는 방법
Panther에서 1Password를 로그 소스로 설정하려면, 먼저 1Password 계정에서 액세스 토큰을 생성한 다음 Panther에서 1Password 로그 소스를 구성해야 합니다.
### 1단계: 1Password에서 액세스 토큰 생성
1. [로그인](https://start.1password.com/signin) 1Password 계정에 로그인한 다음 **Integrations** 을(를) 사이드바에서 클릭합니다.
2. 을 클릭합니다. **Directory** 를 페이지 상단에서 클릭합니다.
3. "Events Reporting" 섹션까지 아래로 스크롤한 다음 **Panther**.\
4. 다음을 입력합니다 **System Name** 통합용으로 입력한 다음 **Add Integration**.
5. 베어러 토큰의 이름을 입력하고 토큰 만료 기간을 선택합니다.
6. 토큰이 액세스할 수 있는 이벤트 유형을 선택합니다:
* 로그인 시도
* 다음을 수집할 계획이라면 이 옵션을 선택합니다 [OnePassword.SignInAttempt](#onepassword.signinattempt) 이벤트를 Panther로.
* 항목 사용 이벤트
* 다음을 수집할 계획이라면 이 옵션을 선택합니다 [OnePassword.ItemUsage](#onepassword.itemusage) 이벤트를 Panther로.
* 감사 이벤트
* 다음을 수집할 계획이라면 이 옵션을 선택합니다 [OnePassword.AuditEvent](#onepassword.auditevent) 이벤트를 Panther로.
7. 을 클릭합니다. **Issue Token** 을 클릭하여 액세스 토큰 키를 생성합니다.
* 1Password 베어러 토큰 발급 또는 취소에 대한 추가 정보는 다음을 참조하세요 [1Password 문서](https://support.1password.com/events-reporting/#appendix-issue-or-revoke-bearer-tokens).
8. 을 클릭합니다. **Save in 1Password** 을 클릭하고 토큰을 저장할 볼트를 선택합니다.
9. 을 클릭합니다. **View Integration Details** 를 클릭하여 토큰을 확인합니다.
* 다음 단계에서 이 토큰이 필요합니다.
### 2단계: Panther에서 새 1Password 로그 소스 생성
1. Panther Console의 왼쪽 탐색 표시줄에서 **구성** > **Log** **Sources**.
2. 을 클릭합니다. **Create New.**
3. “1Password”를 검색한 다음 해당 타일을 클릭합니다.
4. 슬라이드아웃 패널에서 **Start Setup**.
5. 다음 화면에서 소스 이름을 입력합니다. 예: `내 1Password 로그`.
6. 을 클릭합니다. **Setup.**
7. 에서 **Credentials** 페이지에서 양식을 작성합니다:
* 다음을 붙여넣습니다 **액세스 토큰 키** 를 1Password 계정에서 Access Token 필드에.
* 1Password 계정의 리전과 플랜을 선택합니다.
8. 을 클릭합니다. **Setup**. 성공 화면으로 이동합니다:\\
* 선택적으로 하나 이상의 [디택션 팩](https://docs.panther.com/detections/panther-managed/packs).
* 다음을 **이벤트가 처리되지 않을 때 알러트 트리거** 설정의 기본값은 **YES**입니다. 일정 시간 후 로그 소스에서 데이터 흐름이 중단되면 알림을 받게 되므로 이 설정을 활성화된 상태로 유지할 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
{% hint style="warning" %}
**참고:** 기본적으로 1Password 로그에는 볼트 및 로그인 자격 증명과 같은 객체에 대한 사람이 읽을 수 있는 값이 포함되어 있지 않습니다. 다음을 [Lookup Tables 사용에 대한 가이드 참조](https://docs.panther.com/guides/using-lookup-tables-1password-uuids) 하여 1Password의 Universally Unique Identifier (UUID) 값을 사람이 읽을 수 있는 이름으로 변환하세요.
{% endhint %}
## Panther 기본 제공 디택션
Panther의 기본 제공 [Github의 panther-analysis에서 1Password용 규칙 보기](https://github.com/panther-labs/panther-analysis/tree/master/rules/onepassword_rules).
## 지원되는 로그 유형
### OnePassword.ItemUsage
다음은 1Password 항목 사용 이벤트입니다. 자세한 내용은 다음을 참조하세요 [1Password Events API 참조 문서](https://developer.1password.com/docs/events-api/reference/#item-usage).
```yaml
schema: OnePassword.ItemUsage
parser:
native:
name: OnePassword.ItemUsage
description: OnePassword 항목 사용
referenceURL: https://support.1password.com/events-api-reference/#item-usage
필드:
- name: uuid
필수: true
description: 이벤트의 UUID입니다.
유형: string
- name: timestamp
필수: true
description: rfc3339 표준 형식의 이벤트 날짜 및 시간입니다.
유형: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: used_version
description: 접근된 항목의 버전입니다.
유형: bigint
- name: vault_uuid
description: 항목이 들어 있는 볼트의 UUID입니다.
유형: string
- name: item_uuid
description: 접근된 항목의 UUID입니다.
유형: string
- name: action
description: 항목이 사용된 방식에 대한 세부정보입니다. 작업은 1Password 8.4.0 이상을 사용하는 클라이언트 앱에서만 캡처됩니다.
유형: string
- name: user
description: 항목에 접근한 사용자 객체입니다.
type: object
필드:
- name: uuid
description: 항목에 접근했거나 계정에 로그인을 시도한 사용자의 UUID입니다.
유형: string
- name: name
description: 이벤트가 생성될 당시 조회된 사용자의 이름입니다.
유형: string
- name: email
description: 이벤트가 생성될 당시 조회된 사용자의 이메일 주소입니다.
유형: string
indicators:
- email
- name: client
description: 항목에 접근하는 데 사용된 클라이언트 객체입니다.
type: object
필드:
- name: app_name
description: 항목에 접근한 1Password 앱의 이름입니다.
유형: string
- name: app_version
description: 앱의 버전 번호입니다.
유형: string
- name: platform_name
description: 항목에 접근한 플랫폼의 이름입니다.
유형: string
- name: platform_version
description: 1Password가 설치된 브라우저 또는 컴퓨터의 버전, 또는 1Password 명령줄 도구가 설치된 시스템의 CPU입니다.
유형: string
- name: os_name
description: 항목에 접근한 운영 체제의 이름입니다.
유형: string
- name: os_version
description: 항목에 접근한 운영 체제의 버전입니다.
유형: string
- name: ip_address
description: 항목에 접근한 IP 주소입니다.
유형: string
indicators:
- ip
```
### OnePassword.SignInAttempt
다음은 1Password 로그인 시도입니다. 자세한 내용은 다음을 참조하세요 [1Password Events API 참조 문서](https://developer.1password.com/docs/events-api/reference/#sign-in-attempts).
```yaml
schema: OnePassword.SignInAttempt
parser:
native:
name: OnePassword.SignInAttempt
description: OnePassword 로그인 시도
referenceURL: https://support.1password.com/events-api-reference/#sign-in-attempts
필드:
- name: uuid
필수: true
description: 이벤트의 UUID입니다.
유형: string
- name: session_uuid
description: 이벤트를 생성한 세션의 UUID입니다.
유형: string
- name: timestamp
필수: true
description: rfc3339 표준 형식의 이벤트 날짜 및 시간입니다.
유형: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: category
description: 로그인 시도의 범주입니다.
유형: string
- name: type
description: 로그인 시도 유형의 세부정보입니다.
유형: string
- name: country
description: 이벤트가 발생한 위치의 국가 코드입니다.
유형: string
- name: details
description: 사용자의 로그인을 막는 방화벽 규칙 등 로그인 시도에 대한 추가 정보입니다.
type: object
필드:
- name: value
description: 로그인 시도의 국가, 대륙 또는 IP 주소
유형: string
- name: target_user
description: 로그인을 시도한 사용자 객체입니다.
type: object
필드:
- name: uuid
description: 항목에 접근했거나 계정에 로그인을 시도한 사용자의 UUID입니다.
유형: string
- name: name
description: 이벤트가 생성될 당시 조회된 사용자의 이름입니다.
유형: string
- name: email
description: 이벤트가 생성될 당시 조회된 사용자의 이메일 주소입니다.
유형: string
indicators:
- email
- name: client
description: 로그인 시도에 사용된 클라이언트 객체입니다
type: object
필드:
- name: app_name
description: 항목에 접근한 1Password 앱의 이름입니다.
유형: string
- name: app_version
description: 앱의 버전 번호입니다.
유형: string
- name: platform_name
description: 항목에 접근한 플랫폼의 이름입니다.
유형: string
- name: platform_version
description: 1Password가 설치된 브라우저 또는 컴퓨터의 버전, 또는 1Password 명령줄 도구가 설치된 시스템의 CPU입니다.
유형: string
- name: os_name
description: 항목에 접근한 운영 체제의 이름입니다.
유형: string
- name: os_version
description: 항목에 접근한 운영 체제의 버전입니다.
유형: string
- name: ip_address
description: 항목에 접근한 IP 주소입니다.
유형: string
indicators:
- ip
- name: location
description: 이벤트가 발생한 위치입니다.
type: object
필드:
- name: country
description: 이벤트가 발생한 위치의 국가 코드입니다.
유형: string
- name: region
description: 이벤트가 발생한 위치의 지역 코드입니다.
유형: string
- name: city
description: 이벤트가 발생한 위치의 도시 코드입니다.
유형: string
- name: longitude
description: 이벤트가 발생한 위치의 경도입니다.
type: float
- name: latitude
description: 이벤트가 발생한 위치의 위도입니다.
type: float
```
### OnePassword.AuditEvent
다음은 Activity Log의 1Password 감사 이벤트입니다. 자세한 내용은 다음을 참조하세요 [1Password Events Reporting 감사 이벤트 문서](https://developer.1password.com/docs/events-api/audit-events/).
```yaml
schema: OnePassword.AuditEvent
description: OnePassword 감사 이벤트
referenceURL: https://developer.1password.com/docs/events-api/audit-events/
필드:
- name: uuid
필수: true
description: 이벤트의 UUID입니다.
유형: string
- name: timestamp
필수: true
description: rfc3339 표준 형식의 이벤트 날짜 및 시간입니다.
유형: timestamp
timeFormats:
- rfc3339
isEventTime: true
- name: actor_uuid
description: ActorUUID 필드입니다.
유형: string
indicators:
- actor_id
- name: actor_details
description: 작업을 수행한 팀 멤버의 세부정보입니다.
type: object
필드:
- name: uuid
description: 팀 멤버 uuid입니다.
유형: string
indicators:
- actor_id
- name: name
description: 팀 멤버 이름입니다.
유형: string
indicators:
- username
- name: email
description: 팀 멤버 이메일입니다.
유형: string
indicators:
- email
- name: action
필수: true
description: 수행된 작업입니다.
유형: string
- name: object_type
필수: true
description: 이벤트의 영향을 받은 객체 유형입니다.
유형: string
- name: object_uuid
description: 이벤트의 영향을 받은 객체의 UUID입니다.
유형: string
- name: object_details
description: 이벤트의 영향을 받은 팀 멤버의 세부정보입니다. 이 속성은 작업의 객체가 팀 멤버인 이벤트에 대해서만 반환됩니다.
type: object
필드:
- name: uuid
description: 팀 멤버 uuid입니다.
유형: string
indicators:
- actor_id
- name: name
description: 팀 멤버 이름입니다.
유형: string
indicators:
- username
- name: email
description: 팀 멤버 이메일입니다.
유형: string
indicators:
- email
- name: aux_id
description: 활동에 대한 추가 정보의 id입니다.
유형: bigint
- name: aux_uuid
description: 활동에 대한 추가 정보의 UUID입니다.
유형: string
- name: aux_details
description: 활동에 대한 추가 정보와 관련된 팀 멤버의 세부정보입니다. 이 속성은 활동에 대한 추가 정보가 팀 멤버와 관련된 이벤트에 대해서만 반환됩니다.
type: object
필드:
- name: uuid
description: 팀 멤버 uuid입니다.
유형: string
indicators:
- actor_id
- name: name
description: 팀 멤버 이름입니다.
유형: string
indicators:
- username
- name: email
description: 팀 멤버 이메일입니다.
유형: string
indicators:
- email
- name: aux_info
description: 활동에 대한 추가 정보입니다.
유형: string
- name: session
description: 클라이언트에 대해 수집된 세션 정보입니다.
type: object
필드:
- name: uuid
description: 이벤트를 생성한 세션의 UUID입니다.
유형: string
- name: login_time
description: 세션 로그인 날짜 및 시간입니다.
유형: timestamp
- name: device_uuid
description: 로그인 장치의 UUID입니다.
유형: string
- name: ip
description: 로그인 장치의 IP 주소입니다.
유형: string
indicators:
- ip
- name: location
description: 이벤트가 발생한 위치의 location 객체입니다.
type: object
필드:
- name: country
description: 이벤트가 발생한 위치의 국가 코드입니다.
유형: string
- name: region
description: 이벤트가 발생한 위치의 지역 코드입니다.
유형: string
- name: city
description: 이벤트가 발생한 위치의 도시 코드입니다.
유형: string
- name: longitude
description: 이벤트가 발생한 위치의 경도입니다.
type: float
- name: latitude
description: 이벤트가 발생한 위치의 위도입니다.
type: float
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/1password.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.