收集 OneLogin 单点登录 (SSO) 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过配置 OneLogin 事件 Webhook 和 Google 安全运营 HTTPS Webhook 来收集 OneLogin 单点登录 (SSO) 日志。
如需了解详情,请参阅将数据注入到 Google Security Operations 中。
配置 Google SecOps HTTPS 网络钩子
创建 HTTPS 网络钩子 Feed
- 在 Google 安全运营菜单中,依次选择设置 > Feed。
- 点击新增。
- 在 Feed 名称字段中,输入 Feed 的名称。
- 在来源类型列表中,选择网络钩子。
- 选择 OneLogin 作为日志类型。
- 点击下一步。
- 可选:输入以下输入参数的值:
- 拆分分隔符:留空。
- 资源命名空间:资源命名空间。
- 提取标签:要应用于此 Feed 中的事件的标签。
- 点击下一步。
- 检查新的 Feed 配置,然后点击提交。
- 点击生成 Secret 密钥,生成用于对此 Feed 进行身份验证的 Secret 密钥。
- 复制并存储 Secret 密钥,因为您将无法再次查看此 Secret。您可以 生成新的密钥,但重新生成密钥会使 之前的密钥已过期。
- 在详细信息标签页中,从端点信息页面复制 Feed 端点网址 字段。在 OneLogin 事件钩子中输入此端点网址。
- 点击完成。
为 HTTPS 网络钩子 Feed 创建 API 密钥
- 前往 Google Cloud 控制台的“凭据”页面。
- 点击创建凭据,然后选择 API 密钥。
- 复制并存储 API 密钥。
- 限制 API 密钥对 Chronicle API 的访问权限。
配置 OneLogin 事件网络钩子
通过 OneLogin 事件网络钩子,您可以将 OneLogin 事件数据流式传输到 Google Security Operations,它接受 JSON 格式的数据。 此集成可让您监控活动、针对威胁发出警报并执行 整个 OneLogin 和 Google Security Operations 环境中基于事件的身份相关工作流。
- 登录 OneLogin 管理控制台。
- 前往“开发者”标签页 >Webhook >新建网络钩子,然后选择用于日志管理的事件网络钩子。
输入以下详细信息:
- 在名称字段中,输入
Google SecOps。 - 在 Format 字段中,输入
SIEM (NDJSON)。 - 在监听器网址中,输入将接收 OneLogin 事件数据的 Google SecOps Webhook 端点。
- 在自定义标头中,按以下格式将 API 密钥和密钥指定为自定义标头的一部分,以启用身份验证:
X-goog-api-key:API_KEYX-Webhook-Access-Key:SECRET- 在名称字段中,输入
点击保存。刷新页面,您会在 OneLogin 事件广播器中看到新 webhook 已关联。