Sumo Logic SIEM

Sumo Logic 是一个能够提供您的 Bitwarden 组织用户和密码库活动可视化的解决方案。Sumo Logic Bitwarden 集成允许用户监控重要的组织活动，例如登录、失败的两步验证、主密码重置以及解密密钥迁移等。

设置

创建 Sumo Logic 账户

首先，创建 Sumo Logic 账户，或登录具有创建和管理应用程序权限的现有 Sump Logic 账户。

下载 Bitwarden App

1、从 Sumo Logic 仪表盘，导航至 App Catalog 然后搜索 Bitwarden。选择 Install App。

2、接下来，在 Set Up Collection 界面上选择 Create a new Collector。

3、输入 Collector Name、Timezone和可选的 Metadata。完成后，选择 Next。

4、在 Configure Source 界面上，提供应用程序的 Name，例如 Bitwarden Event Logs。

5、保持此界面打开，然后在新选项卡中打开 Bitwarden 组织的网页密码库。

连接您的 Bitwarden 组织

此时，您需要返回 Bitwarden 网页密码库以获取 Client ID 和 Client Secret 的值。

1、要访问 Bitwarden 组织的 client_id 和 client_secret，请登录 Bitwarden 网页 App 然后使用产品切换器打开管理控制台：

2、导航到您组织的设置 → 组织信息界面，然后选择查看 API 密钥按钮。您将被要求重新输入主密码以访问您的 API 密钥信息。

3、将 client_id 和 client_secret 值复制然后粘贴到 Sumo Logic 的Configure Source 界面上对应的位置。

4、完成后，选择 Next。

为 Bitwarden App 创建监控器

Sumo Logic Bitwarden App 包含预配置的监控器，可主动检测数据导出、账户盗用以及策略违规等威胁。监控器提供自动化警报机制，在满足条件时将通知您。

1、返回 App Catalog，搜索然后选择 Bitwarden App。

2、若 App 已安装，请导航至 What's Included 选项卡。

3、在 Monitors 部分中，为您要使用的预配置的监控器选择 Create。Sumo Logic 提供了三个预配置的监控器：

• 来自受限制的地理位置的事件

• 导出了组织密码库

• 组织禁用了 SSO

4、在“新监控器设置”屏幕上，设置所需的监视器触发条件、警报分组和触发类型。

5、配置监控器后，选择 Save。

开始监控数据

完成 App 设置后，您可打开 Sumo Logic 仪表盘然后开始监控数据。在 Sumo Logic 中选择 Dashboards，然后打开 Bitwarden - Security 仪表盘。该安全仪表盘可直观展示从 Bitwarden 事件日志中收集的数据。Bitwarden 事件日志的完整列表可在此处查阅。

时间范围

您可以使用位于仪表盘右上角的工具栏筛选仪表盘结果。选择 🕘以按时间范围进行筛选：

示例查询

您可以在 Sumo Logic 仪表盘上查询 Bitwarden 事件日志。Bitwarden 事件以 JSON 格式传输。示例事件查询如下所示：

示例查询结构：

_sourceCategory=source-category-1 
| json "actingUserName", "date", "object", "type", "typeName", "ipAddress","deviceName","actingUserEmail" as user_name, date, object, event_code, event_name, ip, device_name, user_email
| lookup event_name from source on event_code=event_code
| lookup latitude, longitude,country_name, country_code from geo://location on ip = ip

要了解更多有关 Sumo Logic 高级查询的信息，请参阅 Sumo Logic Query Language documentation。