Die Microsoft Sentinel-Integration ist für Organisationen mit Passwortverwaltung oder Schutz von Anmeldedaten verfügbar.
Mit unserer Microsoft Sentinel-Integration können Sie verfolgen, wie Ihre Teammitglieder Dashlane nutzen. Wenn Sie die Integration für Ihr Team aktivieren, senden wir Ihre Aktivitätsprotokolle automatisch an Microsoft Sentinel.
Microsoft Sentinel ist ein SIEM-Tool (Security Information and Event Management), mit dem Sie die Teamaktivität in Echtzeit überwachen können. Sie können Ereignisse wie hinzugefügte Geräte, Login-Freigaben und Einladungen zu Ihrem Dashlane-Tarif suchen und filtern. Sie können auch Warnungen für bestimmte Ereignisse einrichten, z. B. wenn jemand ein Login teilt.
Die Microsoft Sentinel-Integration einrichten
Prozessübersicht
- Schritt 1: Die App-Registrierung erstellen
- Schritt 2: Die App-Registrierung erstellen
- Schritt 3: Ihren Arbeitsbereich in derselben Zone wie Ihren DCE erstellen
- Schritt 4: Ihre Datensammlungsregel (DCR) erstellen
- Schritt 5: Berechtigungen für Ihren DCR zuweisen
- Schritt 6: Ihre Dashlane-Anwendung mit Sentinel verbinden
- Schritt 7: Ihre Protokolle in Sentinel anzeigen
Schritt 1: Die App-Registrierung erstellen
- Melden Sie sich im Azure-Portal an und gehen Sie zu Microsoft Entra ID, Verwalten, App-Registrierungen, Neue Registrierung.
- Wählen Sie den Namen Ihrer Anwendung (z. B. Dashlane_Sentinel). Kopieren Sie Ihre Mandanten-ID und Client-ID (Registrierkarte „Übersicht").
- Greifen Sie danach auf Verwalten, Zertifikate & Geheimnisse zu, wählen Sie Neues Client-Geheimnis und geben Sie ihm einen Namen. Kopieren Sie den Wert des Client-Geheimnisses.
-
Öffnen Sie die Administrator-Konsole in Dashlane. Wählen Sie Integrationen und dann Ereignisberichte, und wählen Sie Einrichten im Abschnitt Microsoft Sentinel. Fügen Sie dort die kopierten Werte ein: die Mandanten-ID, Client-ID und das Client-Geheimnis.
Schritt 2: Die App-Registrierung erstellen
- Wählen Sie im Azure-Portal Monitor, Einstellungen, Datensammlungs-Endpunkte, Erstellen.
- Geben Sie den Endpunktnamen ein und verwenden Sie zur Konsistenz dieselbe Namenskonvention (Dashlane_Sentinel).
- Wählen Sie die Ressourcengruppe und für die Region die entsprechende Region aus, und stellen Sie sicher, dass Sie für die anderen Schritte dieselbe Region auswählen.
- Kopieren Sie in der Übersicht den Wert für Protokollerfassung und fügen Sie ihn in das entsprechende Feld in der Administrator-Konsole ein.
Schritt 3: Erstellen Sie Ihren Arbeitsbereich in derselben Zone wie Ihr DCE
- Wechseln Sie in Azure zu Log Analytics-Arbeitsbereiche und erstellen Sie Ihren Arbeitsbereich in derselben Zone wie Ihr DCE (Datensammlungsendpunkte).
Schritt 4: Erstellen Sie Ihre Datensammlungsregel (DCR)
-
Öffnen Sie in den Log Analytics-Arbeitsbereichen Ihren Arbeitsbereich, wechseln Sie zu Einstellungen, Tabellen und wählen Sie Erstellen.
- Beim Erstellen des benutzerdefinierten Protokolls geben Sie den Tabellennamen ein. Dieser muss das Präfix
Custom-enthalten und mit dem Suffix_CLenden. Wählen Sie danach Analytics. - Wählen Sie für den Datensammlungsendpunkt den zuvor erstellten DCE aus und stellen Sie sicher, dass er sich in derselben Zone befindet.
-
Wählen Sie Neue Datensammlungsregel erstellen und verwenden Sie dieselbe Namenskonvention.
-
Wählen Sie Weiter und kopieren Sie Ihr Skript und fügen Sie es ein.
Wir empfehlen, das OCSF-Skript auszuwählen, um Protokolle in Microsoft Sentinel sofort zu standardisieren:
Dashlane OCSF-Ereignisskript
[ { "category_uid": 3, "category_name": "Identity & Access Management", "class_uid": 3002, "class_name": "Authentication", "activity_id": 1, "activity_name": "Logon", "type_uid": 300201, "time": 1717920000000, "severity_id": 1, "severity": "Informational", "status_id": 1, "status": "Success", "message": "john.doe@example.com: Successful login", "metadata": { "version": "1.7.0", "log_name": "Dashlane Audit Log", "tenant_uid": "00000000-0000-0000-0000-000000000000", "product": { "name": "Dashlane", "vendor_name": "Dashlane", "version": "6.24.0" } }, "observables": [ { "type": "IP Address", "type_id": 1, "value": "192.168.1.50", "name": "src_endpoint.ip" }, { "type": "Email Address", "type_id": 3, "value": "john.doe@example.com", "name": "user.email_addr" } ], "actor": { "user": { "email_addr": "john.doe@example.com", "type_id": 1, "type": "User" } }, "src_endpoint": { "ip": "192.168.1.50", "type": "Laptop", "type_id": 1, "uid": "dev-123", "name": "John's MacBook", "os": { "name": "macOS", "type": "macOS", "type_id": 100, "version": "14.0" }, "location": { "city": "Paris", "country": "FR", "region": "Ile-de-France", "lat": 48.8566, "long": 2.3522 } }, "unmapped": { "dashlane": { "ref": { "uuid": "123e4567-e89b-12d3-a456-426614174000", "log_type": "login", "category": "authentication", "schema_version": "1.0" }, "device": { "device_name": "John's MacBook", "device_platform": "macOS" } } } } ]Dashlane Ereignis-Skript
{ "team_uuid": "<string: team_uuid>", "schema_version": "1.0.0", "uuid": "<string: log_unique_uuid>", "log_type": "nitro_siem_edited", "date_time": 1700000000000, "category": "team_settings_siem", "author_client": { "platform": "<string: client_platform_name>", "version": "<string: client_version_number>" }, "device": { "uid": "<string: device_hardware_uid>", "name": "<string: device_name>", "type": "<string: device_form_factor>", "type_id": 0, "ip": "<string: ipv4_or_ipv6_address>", "os": { "name": "<string: operating_system_name>", "type": "<string: operating_system_family>", "type_id": 0, "version": "<string: os_version_number>" }, "location": { "city": "<string: city_name>", "country": "<string: iso_country_code>", "region": "<string: region_or_state_code>", "lat": 0.0, "long": 0.0 } }, "autonomous_system": { "number": 0 }, "observables": [ { "name": "http_request.user_agent", "type": "HTTP User-Agent", "type_id": 16, "value": "<string: full_browser_user_agent>" } ], "properties": { "author_login": "<string: actor_email_address>" } } - Wählen Sie Transformations-Editor.
-
Wenn Sie das OCSF-Skript ausgewählt haben, fügen Sie die folgende Transformation hinzu und führen Sie sie aus. Wenn kein Fehler vorliegt, wählen Sie Übernehmen.
source| extend TimeGenerated = todatetime(datetime(1970-01-01) + ['time'] * 1ms)| project-rename event_time = ['time']Wenn Sie das Dashlane Ereignis-Skript ausgewählt haben, fügen Sie die folgende Transformation hinzu und führen Sie sie aus. Wenn kein Fehler vorliegt, wählen Sie Übernehmen.
source| extend TimeGenerated = todatetime(datetime(1970-01-01) + ['date_time'] * 1ms)
-
Wählen Sie Weiter und Erstellen.
- Gehen Sie zu Monitor, Einstellungen, Datensammlungsregeln und wählen Sie die von Ihnen erstellte DCR aus, um die unveränderliche ID zu kopieren.
- Fügen Sie die unveränderliche DCR-ID in das entsprechende Feld der Administrator-Konsole ein.
-
Wählen Sie danach die JSON-Ansicht.
- Kopieren Sie den Stream-Namen unter: StreamDeclarations:
- Der Name hat ein Präfix + Tabellenname, der auf _CL endet
- Fügen Sie den Wert in das entsprechende Feld der Administrator-Konsole ein = Stream-Name
-
Bevor Sie speichern: Wenn Sie zuvor das OCSF-Ereignis-Skript hochgeladen haben, aktivieren Sie bitte die Beta-Option OCSF-Zuordnung für Microsoft Sentinel aktivieren, um Protokolle in Sentinel sofort zu standardisieren, ohne Felder manuell zuordnen zu müssen.
- Wählen Sie Speichern, um die Verbindung zu aktivieren.
- Der Name hat ein Präfix + Tabellenname, der auf _CL endet
Schritt 5: Berechtigungen für Ihre DCR zuweisen
-
Gehen Sie in Azure zu Monitor, Einstellungen und Datensammlungsregeln.
-
Gehen Sie zu Zugriffssteuerung (IAM) und Rollenzuweisung hinzufügen.
-
Fügen Sie die Rolle Monitoring Metrics Publisher hinzu, wählen Sie anschließend die soeben hinzugefügte Rolle aus und klicken Sie auf Weiter.
-
Zugriff zuweisen an:
- Benutzer, Gruppe oder Dienstprinzipal
- Wählen Sie Mitglieder auswählen
- Suchen Sie nach Ihrer registrierten Anwendung und wählen Sie sie aus
- Fahren Sie mit Auswählen fort
-
Wählen Sie Weiter und dann Überprüfen + zuweisen.
Bitte rechnen Sie mit bis zu 30 Minuten, bis die Rollenzuweisung wirksam wird. Wenn Sie Daten senden, bevor die Rollenzuweisung in Kraft getreten ist, erhalten Sie eine HTTP-403-Forbidden-Antwort.
Schritt 6: Ihre Dashlane-Anwendung mit Sentinel verbinden
Gehen Sie zu Microsoft Sentinel und wählen Sie Erstellen, wählen Sie Ihren Arbeitsbereich und klicken Sie auf Hinzufügen, um den Vorgang abzuschließen.
Schritt 7: Ihre Protokolle in Sentinel anzeigen
-
Greifen Sie auf Ihren Arbeitsbereich in Microsoft Sentinel zu
-
Führen Sie Ihre Dashlane-Protokolle aus, indem Sie zu Protokolle gehen, unter Tabellen die Option Benutzerdefinierte Protokolle auswählen, dann Ihre Tabelle auswählen und auf Ausführen klicken.
-
Zeigen Sie Ihre Protokolle an:
Nach der Einrichtung Ihrer Integration können Sie Microsoft Sentinel verwenden, um die in den Aktivitätsprotokollen Ihrer Dashlane Administrator-Konsole aufgeführten Ereignisse zu verfolgen.
Hinweis: Ihre Microsoft Sentinel-Integration protokolliert keine früheren Ereignisse. Nur neue Ereignisse werden nach der Einrichtung verfolgt.
Aktivitätsprotokolle verwenden, um Teamaktivitäten zu verfolgen