La integración de Microsoft Sentinel está disponible para organizaciones con Gestión de contraseñas o Protección de credenciales.
Con nuestra integración de Microsoft Sentinel, puede monitorear cómo los miembros del equipo usan Dashlane. Cuando activa la integración para su equipo, enviamos sus registros de actividad automáticamente a Microsoft Sentinel.
Microsoft Sentinel es una herramienta de gestión de información y eventos de seguridad (SIEM) que le permite monitorear la actividad del equipo en tiempo real. Puede buscar y filtrar eventos como dispositivos agregados, uso compartido de ingresos e invitaciones a su plan de Dashlane. También puede configurar alertas para eventos específicos, como cuando alguien comparte un ingreso.
Configurar la integración de Microsoft Sentinel
Descripción general del proceso
- Paso 1: Crear el registro de la aplicación
- Paso 2: Crear el registro de la aplicación
- Paso 3: Crear su espacio de trabajo en la misma zona que su DCE
- Paso 4: Crear su regla de recopilación de datos (DCR)
- Paso 5: Asignar permisos a su DCR
- Paso 6: Conectar su aplicación de Dashlane a Sentinel
- Paso 7: Ver sus registros en Sentinel
Paso 1: Crear el registro de la aplicación
- Ingrese al portal de Azure y vaya a Microsoft Entra ID, Administrar, Registros de aplicaciones, Nuevo registro.
- Seleccione el nombre de su aplicación (como Dashlane_Sentinel). Copie su ID de inquilino y su ID de cliente (ficha Descripción general).
- Luego, acceda a Administrar, Certificados y secretos, seleccione Nuevo secreto de cliente y asígnele un nombre. Copie el valor del secreto de cliente.
-
Abra la consola de administración en Dashlane. Seleccione Integraciones y luego Informes de eventos, y seleccione Configurar en la sección de Microsoft Sentinel. Pegue los valores que copió allí: el ID de inquilino, el ID de cliente y el secreto de cliente.
Paso 2: Crear el registro de la aplicación
- En el portal de Azure, seleccione Monitor, Opciones, Puntos de conexión de recopilación de datos, Crear.
- Ingrese el nombre del punto de conexión y use la misma convención de nomenclatura para mantener la coherencia (Dashlane_Sentinel).
- Elija el Grupo de recursos y para la Región, seleccione la región y asegúrese de elegir la misma región para los demás pasos.
- En Descripción general, copie el valor de Ingesta de registros y péguelo en el campo correspondiente en la consola de administración.
Paso 3: Cree su espacio de trabajo en la misma zona que su DCE
- En Azure, vaya a Áreas de trabajo de Log Analytics y cree su área de trabajo en la misma zona que su DCE (puntos de conexión de recopilación de datos).
Paso 4: Cree su regla de recopilación de datos (DCR)
-
En Áreas de trabajo de Log Analytics, abra su área de trabajo, vaya a Opciones, Tablas y seleccione Crear.
- Al crear el registro personalizado, ingrese el nombre de la tabla; debe incluir el prefijo
Custom-y terminar con el sufijo_CL. Luego, seleccione Analytics. - Para el punto de conexión de recopilación de datos, seleccione el DCE creado anteriormente y asegúrese de que esté en la misma zona.
-
Seleccione crear una nueva regla de recopilación de datos y utilice la misma convención de nomenclatura.
-
Seleccione Siguiente y copie y pegue su script.
Recomendamos seleccionar el script OCSF para estandarizar inmediatamente los registros en Microsoft Sentinel:
Script de eventos OCSF de Dashlane
[ { "category_uid": 3, "category_name": "Identity & Access Management", "class_uid": 3002, "class_name": "Authentication", "activity_id": 1, "activity_name": "Logon", "type_uid": 300201, "time": 1717920000000, "severity_id": 1, "severity": "Informational", "status_id": 1, "status": "Success", "message": "john.doe@example.com: Successful login", "metadata": { "version": "1.7.0", "log_name": "Dashlane Audit Log", "tenant_uid": "00000000-0000-0000-0000-000000000000", "product": { "name": "Dashlane", "vendor_name": "Dashlane", "version": "6.24.0" } }, "observables": [ { "type": "IP Address", "type_id": 1, "value": "192.168.1.50", "name": "src_endpoint.ip" }, { "type": "Email Address", "type_id": 3, "value": "john.doe@example.com", "name": "user.email_addr" } ], "actor": { "user": { "email_addr": "john.doe@example.com", "type_id": 1, "type": "User" } }, "src_endpoint": { "ip": "192.168.1.50", "type": "Laptop", "type_id": 1, "uid": "dev-123", "name": "John's MacBook", "os": { "name": "macOS", "type": "macOS", "type_id": 100, "version": "14.0" }, "location": { "city": "Paris", "country": "FR", "region": "Ile-de-France", "lat": 48.8566, "long": 2.3522 } }, "unmapped": { "dashlane": { "ref": { "uuid": "123e4567-e89b-12d3-a456-426614174000", "log_type": "login", "category": "authentication", "schema_version": "1.0" }, "device": { "device_name": "John's MacBook", "device_platform": "macOS" } } } } ]Script de evento de Dashlane
{ "team_uuid": "<string: team_uuid>", "schema_version": "1.0.0", "uuid": "<string: log_unique_uuid>", "log_type": "nitro_siem_edited", "date_time": 1700000000000, "category": "team_settings_siem", "author_client": { "platform": "<string: client_platform_name>", "version": "<string: client_version_number>" }, "device": { "uid": "<string: device_hardware_uid>", "name": "<string: device_name>", "type": "<string: device_form_factor>", "type_id": 0, "ip": "<string: ipv4_or_ipv6_address>", "os": { "name": "<string: operating_system_name>", "type": "<string: operating_system_family>", "type_id": 0, "version": "<string: os_version_number>" }, "location": { "city": "<string: city_name>", "country": "<string: iso_country_code>", "region": "<string: region_or_state_code>", "lat": 0.0, "long": 0.0 } }, "autonomous_system": { "number": 0 }, "observables": [ { "name": "http_request.user_agent", "type": "HTTP User-Agent", "type_id": 16, "value": "<string: full_browser_user_agent>" } ], "properties": { "author_login": "<string: actor_email_address>" } } - Seleccione Editor de transformación.
-
Si seleccionó el script OCSF, agregue la siguiente transformación y ejecútela. Si no hay ningún error, seleccione Aplicar.
source| extend TimeGenerated = todatetime(datetime(1970-01-01) + ['time'] * 1ms)| project-rename event_time = ['time']Si seleccionó el script de evento de Dashlane, agregue la siguiente transformación y ejecútela. Si no hay ningún error, seleccione Aplicar.
source| extend TimeGenerated = todatetime(datetime(1970-01-01) + ['date_time'] * 1ms)
-
Seleccione Siguiente y Crear.
- Vaya a Monitor, Opciones, Reglas de recopilación de datos y seleccione el DCR que creó para copiar el ID inmutable.
- Pegue el ID inmutable del DCR en el campo correspondiente de la consola de administración.
-
Después de esto, seleccione la vista JSON.
- Copie el nombre del flujo en: StreamDeclarations:
- El nombre tiene un prefijo + nombre de tabla que termina en _CL
- Pegue el valor en el campo correspondiente de la consola de administración = Nombre del flujo
-
Antes de guardar, si anteriormente cargó el script de eventos OCSF, active la opción Beta Habilitar mapeo OCSF para Microsoft Sentinel para estandarizar inmediatamente los registros en Sentinel, sin tener que mapear manualmente los campos.
- Seleccione Guardar para habilitar la conexión.
- El nombre tiene un prefijo + nombre de tabla que termina en _CL
Paso 5: Asignar permisos a su DCR
-
En Azure, vaya a Monitor, Opciones y Reglas de recopilación de datos.
-
Vaya a Control de acceso (IAM) y Agregar asignación de roles.
-
Agregue el rol Monitoring Metrics Publisher, luego seleccione el rol que acaba de agregar y siguiente.
-
Asigne acceso a:
- Usuario, grupo o entidad de servicio
- Seleccione Seleccionar miembros
- Busque su aplicación registrada y selecciónela
- Continuar con Seleccionar
-
Seleccione Siguiente y Revisar + asignar.
Espere hasta 30 minutos para que la asignación de roles se propague. Si envía datos antes de que la asignación de roles entre en vigor, recibirá una respuesta HTTP 403 Forbidden.
Paso 6: Conectar su aplicación Dashlane a Sentinel
Vaya a Microsoft Sentinel y seleccione Crear, seleccione su área de trabajo y Agregar para finalizar el proceso.
Paso 7: Ver sus registros en Sentinel
-
Acceda a su área de trabajo en Microsoft Sentinel
-
Ejecute sus registros de Dashlane yendo a Registros; en Tablas seleccione Registros personalizados, luego seleccione Su tabla y Ejecutar.
-
Vea sus registros:
Después de completar la configuración de su integración, puede usar Microsoft Sentinel para monitorear los eventos enumerados en el Registro de actividad en su Consola de administración de Dashlane.
Nota: Su integración de Microsoft Sentinel no registrará ningún evento anterior. Solo los nuevos eventos serán monitoreados después de la configuración.
Usar registros de actividad para monitorear la actividad del equipo