Mengumpulkan log 1Password
Didukung di:
Google SecOps
SIEM
Dokumen ini menjelaskan cara menyerap log 1Password ke Google Security Operations menggunakan Google Cloud Storage V2.
1Password adalah platform pengelolaan sandi yang membantu tim menyimpan, membagikan, dan mengelola kredensial, secret, dan informasi sensitif secara aman. 1Password Events API memberikan akses ke data percobaan login dan penggunaan item dari akun 1Password Business Anda.
Sebelum memulai
Pastikan Anda memiliki prasyarat berikut:
- Instance Google SecOps
- Project GCP dengan Cloud Storage API diaktifkan
- Izin untuk membuat dan mengelola bucket GCS
- Izin untuk mengelola kebijakan IAM di bucket GCS
- Izin untuk membuat layanan Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
- Akun 1Password Business
- Peran pemilik atau administrator di akun 1Password Anda
Membuat bucket Google Cloud Storage
- Buka Konsol Google Cloud.
- Pilih project Anda atau buat project baru.
- Di menu navigasi, buka Cloud Storage > Buckets.
- Klik Create bucket.
Berikan detail konfigurasi berikut:
Setelan Nilai Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, onepassword-secops-logs)Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region) Location Pilih lokasi (misalnya, us-central1)Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses) Access control Seragam (direkomendasikan) Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi Klik Create.
Mengumpulkan kredensial 1Password
Menyiapkan integrasi Pelaporan Peristiwa
- Login ke akun Anda di 1Password.com.
- Pilih Integrasi di sidebar.
- Jika Anda telah menyiapkan integrasi lain sebelumnya, pilih Direktori di halaman Integrasi.
- Di bagian Pelaporan Peristiwa, pilih Lainnya.
- Di kolom Name, masukkan nama untuk integrasi (misalnya,
Google SecOps Integration). - Klik Tambahkan Integrasi.
Membuat token pembawa
- Di halaman detail integrasi, klik Tambahkan Token Bearer.
- Berikan detail konfigurasi berikut:
- Nama Token: Masukkan nama deskriptif (misalnya,
SecOps GCS Collector - SignIn and ItemUsage) - Berakhir Setelah: Pilih periode habis masa berlaku sesuai preferensi Anda. Pilih Jangan pernah untuk token yang tidak akan berakhir, atau pilih 30 hari, 90 hari, atau 180 hari.
- Peristiwa yang Akan Dilaporkan: Centang kotak berikut:
- Upaya login
- Peristiwa penggunaan item
- Nama Token: Masukkan nama deskriptif (misalnya,
- Klik Issue Token.
Di halaman Simpan token Anda, klik Simpan di 1Password atau salin token dan simpan di lokasi yang aman.
Klik Lihat Detail Integrasi untuk mengonfirmasi bahwa integrasi sudah aktif.
Menentukan URL dasar Events API Anda
URL dasar bergantung pada server yang menghosting akun 1Password Anda:
| Jika akun Anda dihosting di | URL dasar Events API Anda adalah |
|---|---|
1password.com |
https://events.1password.com |
ent.1password.com |
https://events.ent.1password.com |
1password.ca |
https://events.1password.ca |
1password.eu |
https://events.1password.eu |
Menguji akses API
Uji kredensial Anda sebelum melanjutkan integrasi:
# Replace with your actual bearer token and base URL BEARER_TOKEN="<your-bearer-token>" API_BASE="https://events.1password.com" # Test API access using the introspect endpoint curl -v \ -H "Authorization: Bearer $BEARER_TOKEN" \ "$API_BASE/api/v2/auth/introspect"
Respons yang berhasil akan menampilkan objek JSON dengan kolom features yang mencantumkan jenis peristiwa yang dapat diakses token Anda (misalnya, ["signinattempts", "itemusages"]).
Buat akun layanan untuk Cloud Run Function
Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.
Membuat akun layanan
- Di GCP Console, buka IAM & Admin > Service Accounts.
- Klik Create Service Account.
- Berikan detail konfigurasi berikut:
- Nama akun layanan: Masukkan
onepassword-logs-collector-sa - Deskripsi akun layanan: Masukkan
Service account for Cloud Run function to collect 1Password logs
- Nama akun layanan: Masukkan
- Klik Create and Continue.
- Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
- Klik Pilih peran.
- Telusuri dan pilih Storage Object Admin.
- Klik + Add another role.
- Telusuri dan pilih Cloud Run Invoker.
- Klik + Add another role.
- Telusuri dan pilih Cloud Functions Invoker.
- Klik Lanjutkan.
- Klik Done.
Peran ini diperlukan untuk:
- Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
- Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
- Cloud Functions Invoker: Mengizinkan pemanggilan fungsi
Memberikan izin IAM pada bucket GCS
Beri akun layanan izin tulis di bucket GCS:
- Buka Cloud Storage > Buckets.
- Klik bucket Anda (
onepassword-secops-logs). - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Tambahkan prinsipal: Masukkan
onepassword-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com - Tetapkan peran: Pilih Storage Object Admin
- Tambahkan prinsipal: Masukkan
- Klik Simpan.
Membuat topik Pub/Sub
Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.
- Di GCP Console, buka Pub/Sub > Topics.
- Klik Create topic.
- Berikan detail konfigurasi berikut:
- ID Topik: Masukkan
onepassword-logs-trigger - Biarkan setelan lainnya menggunakan setelan default
- ID Topik: Masukkan
- Klik Create.
Membuat fungsi Cloud Run untuk mengumpulkan log
Fungsi Cloud Run akan dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log upaya login dan penggunaan item dari 1Password Events API dan menuliskannya ke GCS.
- Di GCP Console, buka Cloud Run.
- Klik Create service.
- Pilih Function (gunakan editor inline untuk membuat fungsi).
Di bagian Konfigurasi, berikan detail konfigurasi berikut:
Setelan Nilai Nama layanan onepassword-logs-collectorRegion Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)Runtime Pilih Python 3.12 atau yang lebih baru Di bagian Pemicu (opsional):
- Klik + Tambahkan pemicu.
- Pilih Cloud Pub/Sub.
- Di Select a Cloud Pub/Sub topic, pilih
onepassword-logs-trigger. - Klik Simpan.
Di bagian Authentication:
- Pilih Wajibkan autentikasi.
- Periksa Identity and Access Management (IAM).
Scroll ke bawah dan luaskan Containers, Networking, Security.
Buka tab Security:
- Akun layanan: Pilih
onepassword-logs-collector-sa
- Akun layanan: Pilih
Buka tab Containers:
- Klik Variables & Secrets.
Klik + Tambahkan variabel untuk setiap variabel lingkungan:
Nama Variabel Nilai Contoh Deskripsi GCS_BUCKETonepassword-secops-logsNama bucket GCS GCS_PREFIXonepasswordAwalan untuk file log STATE_KEYonepassword/state.jsonJalur file status OP_API_BASEhttps://events.1password.comURL dasar 1Password Events API OP_BEARER_TOKEN<your-bearer-token>Token pemilik 1Password Events API MAX_RECORDS10000Jumlah maksimum data per endpoint per eksekusi PAGE_SIZE1000Data per halaman (maks. 1.000) LOOKBACK_HOURS24Periode lihat kembali awal dalam jam
Di bagian Variabel & Secret, scroll ke Permintaan:
- Waktu tunggu permintaan: Masukkan
600detik (10 menit)
- Waktu tunggu permintaan: Masukkan
Buka tab Setelan:
- Di bagian Materi:
- Memori: Pilih 512 MiB atau yang lebih tinggi
- CPU: Pilih 1
- Di bagian Materi:
Di bagian Penskalaan revisi:
- Jumlah minimum instance: Masukkan
0 - Jumlah maksimum instance: Masukkan
100(atau sesuaikan berdasarkan perkiraan beban)
- Jumlah minimum instance: Masukkan
Klik Create.
Tunggu hingga layanan dibuat (1-2 menit).
Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.
Menambahkan kode fungsi
- Masukkan main di kolom Entry point.
Di editor kode inline, buat dua file:
File pertama: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone, timedelta import time # Initialize HTTP client with timeouts http = urllib3.PoolManager( timeout=urllib3.Timeout(connect=5.0, read=30.0), retries=False, ) # Initialize Storage client storage_client = storage.Client() # Environment variables GCS_BUCKET = os.environ.get('GCS_BUCKET') GCS_PREFIX = os.environ.get('GCS_PREFIX', 'onepassword') STATE_KEY = os.environ.get('STATE_KEY', 'onepassword/state.json') API_BASE = os.environ.get('OP_API_BASE') BEARER_TOKEN = os.environ.get('OP_BEARER_TOKEN') MAX_RECORDS = int(os.environ.get('MAX_RECORDS', '10000')) PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '1000')) LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24')) # 1Password Events API v2 endpoints for sign-in and item usage ENDPOINTS = { 'signinattempts': '/api/v2/signinattempts', 'itemusages': '/api/v2/itemusages', } def parse_datetime(value: str) -> datetime: """Parse RFC 3339 datetime string to datetime object.""" if value.endswith('Z'): value = value[:-1] + '+00:00' return datetime.fromisoformat(value) @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch 1Password sign-in attempt and item usage logs and write them to GCS as NDJSON. """ if not all([GCS_BUCKET, API_BASE, BEARER_TOKEN]): print('Error: Missing required environment variables ' '(GCS_BUCKET, OP_API_BASE, OP_BEARER_TOKEN)') return try: bucket = storage_client.bucket(GCS_BUCKET) # Load state (stores cursors per endpoint) state = load_state(bucket, STATE_KEY) now = datetime.now(timezone.utc) total_records = 0 for event_type, path in ENDPOINTS.items(): print(f'--- Processing endpoint: {event_type} ---') saved_cursor = state.get(f'cursor_{event_type}') records, last_cursor = fetch_endpoint( api_base=API_BASE, path=path, bearer_token=BEARER_TOKEN, saved_cursor=saved_cursor, lookback_hours=LOOKBACK_HOURS, page_size=PAGE_SIZE, max_records=MAX_RECORDS, ) if records: timestamp = now.strftime('%Y%m%d_%H%M%S') object_key = (f'{GCS_PREFIX}/' f'{event_type}_{timestamp}.ndjson') blob = bucket.blob(object_key) ndjson = '\n'.join( json.dumps(r, ensure_ascii=False) for r in records ) + '\n' blob.upload_from_string( ndjson, content_type='application/x-ndjson' ) print(f'Wrote {len(records)} {event_type} records ' f'to gs://{GCS_BUCKET}/{object_key}') # Save cursor even if no records (for next poll) if last_cursor: state[f'cursor_{event_type}'] = last_cursor total_records += len(records) # Save state with all cursors state['last_run'] = now.isoformat() save_state(bucket, STATE_KEY, state) print(f'Successfully processed {total_records} total records') except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) except Exception as e: print(f'Warning: Could not load state: {e}') return {} def save_state(bucket, key, state: dict): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, indent=2), content_type='application/json', ) print(f'Saved state: {json.dumps(state)}') except Exception as e: print(f'Warning: Could not save state: {e}') def fetch_endpoint(api_base, path, bearer_token, saved_cursor, lookback_hours, page_size, max_records): """ Fetch events from a single 1Password Events API v2 endpoint. The 1Password Events API uses cursor-based pagination with POST requests. The first request sends a ResetCursor object with optional start_time and limit. Subsequent requests send the cursor returned from the previous response. Args: api_base: Events API base URL path: Endpoint path bearer_token: JWT bearer token saved_cursor: Cursor from previous run (or None) lookback_hours: Hours to look back on first run page_size: Max events per page (1-1000) max_records: Max total events per run Returns: Tuple of (records list, last_cursor string) """ url = f'{api_base.rstrip("/")}{path}' headers = { 'Authorization': f'Bearer {bearer_token}', 'Content-Type': 'application/json', 'Accept': 'application/json', 'User-Agent': 'GoogleSecOps-1PasswordCollector/1.0', } records = [] cursor = saved_cursor page_num = 0 backoff = 1.0 while True: page_num += 1 if len(records) >= max_records: print(f'Reached max_records limit ({max_records})') break # Build request body if cursor: # Continuing cursor: resume from last position body = json.dumps({'cursor': cursor}) else: # ResetCursor: first request or no saved state start_time = ( datetime.now(timezone.utc) - timedelta(hours=lookback_hours) ) body = json.dumps({ 'limit': page_size, 'start_time': start_time.strftime( '%Y-%m-%dT%H:%M:%SZ' ), }) try: response = http.request( 'POST', url, body=body, headers=headers, ) # Handle rate limiting (600 req/min, 30000 req/hour) if response.status == 429: retry_after = int( response.headers.get( 'Retry-After', str(int(backoff)) ) ) print(f'Rate limited (429). Retrying after ' f'{retry_after}s...') time.sleep(retry_after) backoff = min(backoff * 2, 60.0) continue backoff = 1.0 if response.status != 200: response_text = response.data.decode('utf-8') print(f'HTTP Error {response.status}: ' f'{response_text}') break data = json.loads(response.data.decode('utf-8')) page_items = data.get('items', []) cursor = data.get('cursor') has_more = data.get('has_more', False) if page_items: print(f'Page {page_num}: Retrieved ' f'{len(page_items)} events') records.extend(page_items) if not has_more: print(f'No more pages (has_more=false)') break if not cursor: print(f'No cursor returned, stopping') break except urllib3.exceptions.HTTPError as e: print(f'HTTP error: {str(e)}') break except Exception as e: print(f'Error fetching events: {str(e)}') break print(f'Retrieved {len(records)} total records ' f'from {page_num} pages') return records, cursorFile kedua: requirements.txt:
functions-framework==3.* google-cloud-storage==2.* urllib3>=2.0.0
Klik Deploy untuk menyimpan dan men-deploy fungsi.
Tunggu hingga deployment selesai (2-3 menit).
Buat tugas Cloud Scheduler
Cloud Scheduler akan memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.
- Di GCP Console, buka Cloud Scheduler.
- Klik Create Job.
Berikan detail konfigurasi berikut:
Setelan Nilai Nama onepassword-logs-collector-hourlyRegion Pilih region yang sama dengan fungsi Cloud Run Frekuensi 0 * * * *(setiap jam, tepat pada waktunya)Zona Waktu Pilih zona waktu (UTC direkomendasikan) Jenis target Pub/Sub Topik Pilih onepassword-logs-triggerIsi pesan {}(objek JSON kosong)Klik Create.
Opsi frekuensi jadwal
Pilih frekuensi berdasarkan volume log dan persyaratan latensi:
| Frekuensi | Ekspresi Cron | Kasus Penggunaan |
|---|---|---|
| Setiap 5 menit | */5 * * * * |
Volume tinggi, latensi rendah |
| Setiap 15 menit | */15 * * * * |
Volume sedang |
| Setiap jam | 0 * * * * |
Standar (direkomendasikan) |
| Setiap 6 jam | 0 */6 * * * |
Volume rendah, pemrosesan batch |
| Harian | 0 0 * * * |
Pengumpulan data historis |
Menguji integrasi
- Di konsol Cloud Scheduler, temukan
onepassword-logs-collector-hourly. - Klik Force run untuk memicu tugas secara manual.
- Tunggu beberapa detik.
- Buka Cloud Run > Services.
- Klik
onepassword-logs-collector. - Klik tab Logs.
Pastikan fungsi berhasil dieksekusi. Cari:
--- Processing endpoint: signinattempts --- Page 1: Retrieved X events Wrote X signinattempts records to gs://onepassword-secops-logs/onepassword/signinattempts_YYYYMMDD_HHMMSS.ndjson --- Processing endpoint: itemusages --- Page 1: Retrieved X events Wrote X itemusages records to gs://onepassword-secops-logs/onepassword/itemusages_YYYYMMDD_HHMMSS.ndjson Successfully processed X total recordsBuka Cloud Storage > Buckets.
Klik
onepassword-secops-logs.Buka folder
onepassword/.Pastikan file
.ndjsonbaru dibuat dengan stempel waktu saat ini.
Jika Anda melihat error dalam log:
- HTTP 401: Periksa token pembawa di variabel lingkungan
OP_BEARER_TOKEN. Masa berlaku token mungkin telah berakhir. - HTTP 429: Pembatasan laju. Fungsi akan otomatis dicoba lagi dengan backoff. 1Password Events API mengizinkan 600 permintaan per menit dan 30.000 permintaan per jam.
- Variabel lingkungan tidak ada: Pastikan semua variabel yang diperlukan ditetapkan dalam konfigurasi fungsi Cloud Run.
- Tidak ada data yang ditampilkan: Verifikasi bahwa token pembawa Anda memiliki akses ke jenis peristiwa yang diminta menggunakan endpoint introspect.
Mengambil akun layanan Google SecOps
Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.
Dapatkan email akun layanan
- Buka Setelan SIEM > Feed.
- Klik Tambahkan Feed Baru.
- Klik Konfigurasi satu feed.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya,
1Password Sign-In and Item Usage Logs). - Pilih Google Cloud Storage V2 sebagai Source type.
- Pilih 1Password sebagai Jenis log.
Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.comSalin alamat email ini untuk digunakan di langkah berikutnya.
Klik Berikutnya.
Tentukan nilai untuk parameter input berikut:
URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:
gs://onepassword-secops-logs/onepassword/
Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:
- Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
- Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.
Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.
Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir (defaultnya adalah 180 hari)
Namespace aset: Namespace aset
Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini
Klik Berikutnya.
Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.
Memberikan izin IAM ke akun layanan Google SecOps
Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.
- Buka Cloud Storage > Buckets.
- Klik
onepassword-secops-logs. - Buka tab Izin.
- Klik Grant access.
- Berikan detail konfigurasi berikut:
- Add principals: Tempel email akun layanan Google SecOps
- Tetapkan peran: Pilih Storage Object Viewer
Klik Simpan.
Tabel pemetaan UDM
| Kolom Log | Pemetaan UDM | Logika |
|---|---|---|
| category | security_result.category_details | Nilai diambil dari kolom category dalam log mentah. |
| client.app_name | principal.application | Nilai diambil dari kolom client.app_name dalam log mentah. |
| client.app_version | metadata.product_version | Nilai diambil dari kolom client.app_version dalam log mentah. |
| client.ip_address | principal.ip | Nilai diambil dari kolom client.ip_address dalam log mentah. |
| client.os_name | principal.platform | Nilai diambil dari kolom client.os_name di log mentah dan dipetakan ke nilai platform UDM yang sesuai (LINUX, WINDOWS, MAC). |
| client.os_version | principal.platform_version | Nilai diambil dari kolom client.os_version dalam log mentah. |
| client.platform_name | principal.resource.attribute.labels | Nilai diambil dari kolom client.platform_name dalam log mentah. |
| client.platform_version | principal.asset.platform_software.platform_version | Nilai diambil dari kolom client.platform_version dalam log mentah. |
| country | principal.location.country_or_region | Nilai diambil dari kolom country dalam log mentah jika location.country tidak ada. |
| item_uuid | security_result.about.resource.attribute.labels | Nilai diambil dari kolom item_uuid dalam log mentah. |
| location.city | principal.location.city | Nilai diambil dari kolom location.city dalam log mentah. |
| location.country | principal.location.country_or_region | Nilai diambil dari kolom location.country dalam log mentah. |
| location.latitude | principal.location.region_latitude | Nilai diambil dari kolom location.latitude dalam log mentah. |
| location.longitude | principal.location.region_longitude | Nilai diambil dari kolom location.longitude dalam log mentah. |
| location.region | principal.location.name | Nilai diambil dari kolom location.region dalam log mentah. |
| session.ip | principal.ip | Nilai diambil dari kolom session.ip dalam log mentah. |
| session_uuid | network.session_id | Nilai diambil dari kolom session_uuid dalam log mentah. |
| target_user.email | target.user.email_addresses | Nilai diambil dari kolom target_user.email dalam log mentah. |
| target_user.uuid | target.user.userid | Nilai diambil dari kolom target_user.uuid dalam log mentah. |
| timestamp | metadata.event_timestamp | Nilai diambil dari kolom timestamp di log mentah dan dikonversi menjadi detik dan nanodetik. |
| jenis | additional.fields | Nilai diambil dari kolom type dalam log mentah. |
| user.email | principal.user.email_addresses | Nilai diambil dari kolom user.email dalam log mentah. |
| user.name | principal.user.user_display_name | Nilai diambil dari kolom user.name dalam log mentah. |
| used_version | additional.fields | Nilai diambil dari kolom used_version dalam log mentah. |
| uuid | principal.resource.attribute.labels | Nilai diambil dari kolom uuid dalam log mentah. |
| vault_uuid | security_result.about.resource.attribute.labels | Nilai diambil dari kolom vault_uuid dalam log mentah. |
| T/A | extensions.auth | Objek kosong dibuat untuk kolom ini. |
| T/A | metadata.event_type | Disetel ke USER_LOGIN jika kategori adalah success atau firewall_reported_success, STATUS_UPDATE jika tidak ada informasi pengguna, dan USER_UNCATEGORIZED jika ada informasi pengguna. |
| T/A | metadata.log_type | Tetapkan ke ONEPASSWORD. |
| T/A | metadata.product_name | Tetapkan ke ONEPASSWORD. |
| T/A | metadata.vendor_name | Tetapkan ke ONEPASSWORD. |
| T/A | security_result.action | Tetapkan ke ALLOW jika kategori adalah success atau firewall_reported_success, BLOCK jika kategori adalah credentials_failed, mfa_failed, modern_version_failed, atau firewall_failed, dan biarkan kosong jika tidak. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.