Microsoft Sentinel SIEM
最后更新于
这有帮助吗?
最后更新于
这有帮助吗?
对应的官方文档地址
Microsoft Sentinel 是一个安全信息和事件管理 (SIEM) 平台,可用于监控 Bitwarden 组织。企业可使用 Microsoft Sentinel 上的 Bitwarden Event Logs App 监控事件活动。
要设置 Bitwarden 集成,需要一个可访问 Microsoft Sentinel 工作区的活动 Azure 账户。此外,还需要 Bitwarden API 密钥,该密钥只能由组织所有者获取。
Bitwarden Event Logs App 位于 Microsoft Azure Marketplace。要将新的应用程序添加到您的工作区,请执行以下操作:
1、从下拉菜单中选择 Bitwarden Event Logs 计划,然后选择创建。
2、填写必填字段,然后选择工作区,这将将监控 Bitwarden 组织数据。
3、完成后,选择审核 + 创建。
将 Bitwarden Event Logs App 添加到 Microsoft Sentinel 工作区后,您就可以使用 Bitwarden API 密钥连接您的 Bitwarden 组织了。
1、返回数据连接器界面然后选择 Bitwarden Event Logs App。选择打开连接器页面。如果 Bitwarden Event Logs App 不可见,您可能需要选择 ⟳刷新。
2、保持该界面打开,在另一个标签页上登录 Bitwarden 网页 App,使用产品切换器打开管理控制台:
3、导航到组织的设置 → 组织信息界面,然后选择查看 API 密钥按钮。系统会要求您重新输入主密码,以访问 API 密钥信息。
4、返回 Microsoft Sentinel 选项卡。在配置页面上,填写以下字段:
Bitwarden Identity URL
对于 Bitwarden 云用户,默认的 URL 为 https://identity.bitwarden.com 或 https://identity.bitwarden.eu。
对于自托管 Bitwarden 用户,请输入您的自托管 URL。例如 https://<self-hosted-url>/identity。确保 URL 尾部不包含任何尾随的正斜杠「/」。
Bitwarden API URL
对于 Bitwarden 云用户,默认的 URL 为 https://api.bitwarden.com or https://api.bitwarden.eu。
对于自托管 Bitwarden 用户,请输入您的自托管 URL。例如 https://<self-hosted-url>/api。确保 URL 尾部不包含任何尾随的正斜杠「/」。
Client ID
输入从 Bitwarden 组织 API 密钥窗口获取的 client_id 的值。
Client Secret
输入从 Bitwarden 组织 API 密钥窗口获取的 client_secret 的值。
5、完成必填字段后,选择连接。
您的组织 API 密钥信息属于敏感数据。请勿在非安全位置共享这些值。
Microsoft Sentinel 上的 Bitwarden Event Logs App 目前不提供历史事件数据。此外,在 Microsoft Sentinel 中显示第一批事件可能需要长达 1 个小时。
可使用 BitwardenEventLogs 查询功能在 Microsoft Sentinel 中查看 Bitwarden 组织事件日志。
1、从 Microsoft Sentinel 选择日志。将创建新查询选项卡。在左侧导航栏中,选择功能 → 工作区功能 → BitwardenEventLogs。
2、在运行查询之前,可以选择时间范围并为查询添加特定参数。要执行查询,请选择运行。
可以保存查询,以备将来使用。
Workbook 可用于查看事件日志和可视化数据。此外,Bitwarden 事件日志 Workbook 中还包含模板,用于预配置可用数据概览。
要访问 Workbook,请从导航中选择 Workbook,然后选择模板:
Bitwarden Event Logs App 默认包含三个模板。选择其中一个模板并选择查看模板即可开始监控数据:
仪表盘包括可视化数据:
继续滚动概览页面,查看更多事件日志数据: