Hoe kan 1Password worden aangesloten aan InsightIDR met de kracht van InsightConnect?

20-03-2024, Alkmaar

In dit artikel neemt Ilyaaz Noerkhan je mee in de oplossing om 1Password te koppelen aan InsightConnect met de kracht van InsightIDR van Rapid7.
Op het moment dat dit artikel is opgesteld wordt 1Password nog niet ondersteund in InsightIDR als logbron. Zodoende kan er geen directe koppeling worden gemaakt om de 1Password activiteiten centraal op te slaan in InsightIDR. Daarnaast zullen authenticatiegedragingen binnen 1Password ook niet worden  meegenomen in het alarmeringsmodel van InsightIDR. 

Waarom is dit normaal een issue?
Dit is een probleem omdat je dan inzichten en alerts kan missen in InsightIDR over het informatiesysteem.

Hoe lossen we dit op?
We kunnen dit oplossen met de Universal Event Format functionaliteit van InsightIDR.

Wat is het resultaat?
Het resultaat is dat je hiermee een logbron wat niet wordt ondersteund door Rapid7 InsightIDR, ondersteund hebt gemaakt middels UEF en InsightConnect. Met als gevolg dat je geen zelfgemaakte alert regels hoeft te maken.

Toegevoegde waarde

Gelukkig heeft 1Password specifiek voor deze use-case een API ontwikkeld om hier data van op te halen, namelijk hun Events API
Hieronder vallen o.a. aanmeldpoging events.

Door deze informatie naar InsightIDR te brengen kunnen we deze aanmeldpogingen centraal opslaan. Hierdoor is er in het geval van een incident m.b.t een gebruikersaccount een centrale plek waar de log data kan worden opgezocht. Daarnaast zijn er ook mogelijkheden om op basis van deze datastromen dashboards te configureren in InsightIDR voor rapportagedoeleindes. Hiermee wordt het mogelijk om bijvoorbeeld trends inzichtelijk te maken.

Hoe kan jij 1Password aansluiten aan InsightIDR met de kracht van InsightConnect?

Naast het centraliseren van de authenticatie logs kunnen we ook de aanmeldpogingen combineren met de authenticaties van andere logbronnen. Denk hierbij bijvoorbeeld aan de authenticaties van een andere cloud provider zoals Azure of een VPN- oplossing. Dit is te realiseren met de Universal Event Formats (UEF) functionaliteit waarmee een log in een vastgesteld formaat uitgestuurd dwordt, zodat InsightIDR de aanmeldpoging kan interpreteren en mee kan nemen in het user behavior analytics model (UBA – User Behavior Analytics (UBA) Solution – Rapid7). Door de 1Password inlogpogingen te versturen in het UEF-formaat helpen we InsightIDR de log te kunnen begrijpen. 

Hierdoor wordt deze ook daadwerkelijk herkend als een authenticatiepoging op een applicatie. Door 1Password op deze manier aan te sluiten zijn de logs ook in staat om op ingebouwde UBA-alarmen toegepast te worden. In dit geval zullen het alarmen zijn die kijken naar het authenticatiegedrag van een gebruiker over meerdere authenticatie logbronnen heen. We moeten hiervoor wel zelf de 1Password aanmeldpogingen van de API ophalen, transformeren naar UEF en doorsturen naar InsightIDR. Voor deze blog blijven we binnen het portfolio van Rapid7 en zullen we het automatiseringsplatform InsightConnect gebruiken. Vanzelfsprekend is dit ook te realiseren op een andere manier.

Diagram automatiseringsplatform

Het automatiseringsplatform InsightConnect & InsightIDR van Rapid7.

Het automatiseringsplatform InsightConnect & InsightIDR

Transformatie

Binnen InsightConnect kunnen we op basis van de beschikbare plugins een workflow automatisering bouwen, welke de data ophaalt van de 1Password API, vervolgens transformeert naar UEF en verstuurt naar InsightIDR.

workflow automatisering InsighConnect

Binnen InsightConnect wordt de data omgebouwd naar UEF. Binnen dit formaat moet alles volgens een vastgestelde structuur worden ingevuld. Het custom_data veld is een veld dat niet van belang is voor het UEF. Hier zouden we dus de rest van de 1Password API datavelden kunnen plaatsen.

Vastgestelde Structuur IndishtIDR

Het resultaat

Als dit eenmaal draait en binnen komt zullen we zien dat er UBA alerts kunnen worden aangemaakt op basis van de log activiteit vanuit 1Password.

UBA alerts en Log activiteiten 1
UBA alerts en Log activiteiten 2
UBA alerts en Log activiteiten 3

Dit artikel is geschreven als opvolging van: Haal meer uit InsightIDR met het Universal Event Format

Recente artikelen
NIS2: Waar staan we nu?

NIS2: Waar staan we nu?

Vanwege de toenemende afhankelijkheid van technologie in onze samenleving streeft de Europese Unie naar een Europees cybersecuritybeleid.
NIS2 Technical readiness” - Do’s en Dont’s from the field’.

NIS2 Technical readiness” - Do’s en Dont’s from the field’.

Rutger en Julian van Sijp (Bluebird & Hawk) presenteerde over 'NIS2 Technical Readiness - Do's and Dont's from the field bij Experts Live Netherlands in Nieuwegein. In 50 minuten namen…
DTX & IT=Alkmaar - Microsoft Copilot.

DTX & IT=Alkmaar - Microsoft Copilot.

Samen met IT=Alkmaar organiseerden we ons allereerste publieke event van 2024, gewijd aan het fascinerende onderwerp: Microsoft Copilot. Een avond vol inspiratie, kennisdeling, nieuwe connecties en heerlijke pizza! De 3e…