# Microsoft Sentinel SIEM {% hint style="success" %} 对应的[官方文档地址](https://bitwarden.com/help/microsoft-sentinel-siem/) {% endhint %} Microsoft Sentinel 是一个安全信息和事件管理 (SIEM) 平台，可用于监控 Bitwarden 组织。组织可通过 Microsoft Sentinel 上的 Bitwarden Event Logs App 来监控[事件](/docs/admin-console/oversight-visibility/event-logging/event-logs.md)活动。 ## 设置要设置 Bitwarden 集成，需要一个具有 Microsoft Sentinel 工作区访问权限的活跃 Azure 账户。此外，还需要 Bitwarden [API 密钥](/docs/admin-console/bitwarden-public-api.md#authentication)，该密钥只能由[组织所有者](/docs/admin-console/manage-members/member-roles.md)获取。 ## 将 Bitwarden App 安装到您的 Microsoft Sentinel 仪表盘 Bitwarden Event Logs App 位于 [Microsoft Azure Marketplace](https://azuremarketplace.microsoft.com/zh-cn/marketplace/apps/8bit-solutions-llc.bitwarden-sentinel-integration?tab=Overview)。要将新的应用程序添加到您的工作区： 1、从下拉菜单中选择 Bitwarden Event Logs 计划，然后选择**创建**。

2、填写必填字段，然后选择用来监控 Bitwarden 组织数据的工作区。 3、完成后，选择**审核 + 创建**。 ## 连接您的 Bitwarden 组织将 Bitwarden Event Logs App 添加到 Microsoft Sentinel 工作区后，您就可以使用 Bitwarden API 密钥连接您的 Bitwarden 组织了。 1、返回**数据连接器**界面然后选择 Bitwarden Event Logs App。选择**打开连接器页面**。如果 Bitwarden Event Logs App 不可见，您可能需要选择 **⟳刷新**。

2、保持该界面打开，在另一个标签页上登录 Bitwarden 网页 App，然后使用产品切换器打开管理控制台：

3、导航到组织的**设置** → **组织信息**界面，然后选择**查看 API 密钥**按钮。将要求您重新输入主密码，以访问您的 API 密钥信息。

4、返回 Microsoft Sentinel 选项卡。在**配置**页面上，填写以下字段： | 字段 | 值 | | ---------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Bitwarden Identity URL |

对于 Bitwarden 云用户，默认的 URL 为或。

对于自托管 Bitwarden 用户，请输入您的自托管 URL。例如 https\://\/identity。确保 URL 尾部不包含任何尾随的正斜杠「/」。

| | Bitwarden API URL |

对于 Bitwarden 云用户，默认的 URL 为 or 。

对于自托管 Bitwarden 用户，请输入您的自托管 URL。例如 https\://\/api。确保 URL 尾部不包含任何尾随的正斜杠「/」。

| | Client ID | 输入从 Bitwarden 组织 API 密钥窗口获取的 `client_id` 的值。 | | Client Secret | 输入从 Bitwarden 组织 API 密钥窗口获取的 `client_secret` 的值。 | 5、完成必填字段后，选择**连接**。 {% hint style="info" %} 您的组织 API 密钥信息是敏感数据。不要在不安全的位置分享这些值。 {% endhint %} ## 开始监控事件日志 {% hint style="info" %} Microsoft Sentinel 上的 Bitwarden Event Logs App 目前不提供历史事件数据。此外，在 Microsoft Sentinel 中显示第一批事件可能需要长达 1 个小时。 {% endhint %} 可使用 `BitwardenEventLogs` 查询功能在 Microsoft Sentinel 中查看 Bitwarden 组织事件日志。 1、从 Microsoft Sentinel 选择**日志**。将创建一个新查询标签页。在左侧导航栏中，选择**功能** → **工作区功能** → **BitwardenEventLogs**。 2、在运行查询之前，您可以选择时间范围并为查询添加特定参数。要开始查询，请选择**运行**。

查询可以保存以备将来使用。

### 使用 Workbook 监控 Workbook 可用于查看事件日志和可视化数据。此外，Bitwarden 事件日志 Workbook 中还包含模板，用于预配置可用数据的概览。要访问 Workbook，请从导航中选择 **Workbook**，然后选择**模板**：

Bitwarden Event Logs App 默认包含三个模板。选择其中一个模板并选择**查看模板**即可开始监控数据：

仪表盘包含可视化数据：

继续滚动概览页面，查看更多事件日志数据：

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://help.ppgg.in/docs/admin-console/oversight-visibility/siem-integrations/microsoft-sentinel-siem.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.