1Password-Audit-Logs erfassen

In diesem Dokument wird beschrieben, wie Sie 1Password-Audit-Logs mit Bindplane in Google Security Operations aufnehmen. Der Parser wandelt Rohlogdaten im JSON-Format in ein strukturiertes Format um, das dem einheitlichen Datenmodell (Unified Data Model, UDM) von Google SecOps entspricht. Der Schwerpunkt liegt dabei auf der Normalisierung und Anreicherung von Ereignissen im Zusammenhang mit Anmeldeversuchen von Nutzern. Außerdem werden Details zum Nutzer, seinem Standort, Clientinformationen und dem Ergebnis des Versuchs extrahiert.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

• Google SecOps-Instanz
• Windows 2016 oder höher oder Linux-Host mit systemd
• Wenn die Ausführung hinter einem Proxy erfolgt, sind die Firewallports geöffnet.
• Privilegierter Zugriff auf 1Password

Authentifizierungsdatei für die Aufnahme in Google SecOps abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie SIEM-Einstellungen > Collection Agents auf.
3. Laden Sie die Authentifizierungsdatei für die Aufnahme herunter. Speichern Sie die Datei sicher auf dem System, auf dem BindPlane installiert wird.

Google SecOps-Kundennummer abrufen

1. Melden Sie sich in der Google SecOps-Konsole an.
2. Rufen Sie die SIEM-Einstellungen > „Profil“ auf.
3. Kopieren und speichern Sie die Kunden-ID aus dem Bereich Organisationsdetails.

BindPlane-Agent installieren

Fenstereinbau

1. Öffnen Sie die Eingabeaufforderung oder PowerShell als Administrator.

2. Führen Sie dazu diesen Befehl aus:

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Linux-Installation

1. Öffnen Sie ein Terminal mit Root- oder Sudo-Berechtigungen.

2. Führen Sie dazu diesen Befehl aus:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Zusätzliche Installationsressourcen

Weitere Installationsoptionen finden Sie im Installationsleitfaden.

BindPlane-Agent zum Erfassen von Syslog-Daten und Senden an Google SecOps konfigurieren

1. Rufen Sie die Konfigurationsdatei auf:
   • Suchen Sie die Datei config.yaml. Normalerweise befindet es sich unter Linux im Verzeichnis /etc/bindplane-agent/ oder unter Windows im Installationsverzeichnis.
   • Öffnen Sie die Datei mit einem Texteditor (z. B. nano, vi oder Notepad).

2. Bearbeiten Sie die Datei config.yamlso:

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'ONEPASSWORD_AUDIT_EVENTS'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Ersetzen Sie den Port und die IP-Adresse nach Bedarf in Ihrer Infrastruktur.

4. Ersetzen Sie <customer_id> durch die tatsächliche Kunden-ID.

5. Aktualisieren Sie /path/to/ingestion-authentication-file.json auf den Pfad, in dem die Authentifizierungsdatei im Abschnitt Google SecOps-Aufnahmeauthentifizierungsdatei abrufen gespeichert wurde.

Bindplane-Agent neu starten, um die Änderungen zu übernehmen

• Führen Sie den folgenden Befehl aus, um den Bindplane-Agent unter Linux neu zu starten:

  sudo systemctl restart bindplane-agent
  

• Wenn Sie den Bindplane-Agent unter Windows neu starten möchten, können Sie entweder die Konsole Dienste verwenden oder den folgenden Befehl eingeben:

  net stop BindPlaneAgent && net start BindPlaneAgent
  

1Password-API-Token abrufen

1. Melden Sie sich in der 1Password-Web-UI an.
2. Rufen Sie Integrationen auf.
3. Klicken Sie oben auf der Seite auf Verzeichnis.
4. Geben Sie einen Namen für das Token ein und legen Sie das Ablaufdatum des Tokens fest.
5. Klicken Sie unter Berichterstellung zu Ereignissen auf Sonstige.
6. Wählen Sie unter Ereignistypen die Option Audit-Ereignisse aus.
7. Klicken Sie auf Issue Token (Token ausstellen), um den Zugriffstoken-Schlüssel zu generieren.
8. Klicken Sie auf In 1Password speichern und wählen Sie aus, in welchem Tresor Ihr Token gespeichert werden soll.
9. Klicken Sie auf Integrationsdetails ansehen, um das Token aufzurufen.

Konfigurieren Sie einen Linux-Host für die Ausführung des folgenden Befehls:

• Führen Sie dazu diesen Befehl aus:

    import datetime
    import requests
    import os 
    import socket 
    import json
  
  # For more information, check out the support page: https://support.1password.com/events-reporting
  
    api_token = os.environ.get('EVENTS_API_TOKEN')
    url = "https://events.1password.com"
    if not api_token:
        print("Please set the EVENTS_API_TOKEN environment variable.")
        exit(1)
    start_time = datetime.datetime.now() - datetime.timedelta(hours=24)
  
  # Define the bindplane agent details
  
    syslog_server_ip = <ip-address> # Replace with your Bindplane IP
    syslog_server_port = <port-number> # Replace with your Bindplane port
    headers = {
        "Content-Type": "application/json",
        "Authorization": f"Bearer {api_token}"
    payload = {
        "limit": 20,
        "start_time": start_time.astimezone().replace(microsecond=0).isoformat()
  
  # Alternatively, use the cursor returned from previous responses to get any new events
    # payload = { "cursor": cursor }
    try:
        r = requests.post(f"{url}/api/v1/signinattempts", headers=headers, json=payload)
        r.raise_for_status()  # Raise an exception if the request fails
        if r.status_code == requests.codes.ok:
  
  # Send the response to the bindplane server
            syslog_message = f"{json.dumps(r.json())}"
            with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as sock:
                sock.connect((syslog_server_ip, syslog_server_port))
                sock.sendall(f"{syslog_message}\n".encode())
        else:
            print(f"Error getting sign-in attempts: status code {r.status_code}")
    except requests.exceptions.RequestException as e:
        print(f"Request error: {e}")
    except Exception as e:
        print(f"Error during syslog logging: {e}")
  

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten