Coletar registros de Logon único (SSO) da OneLogin

Compatível com:

Este documento descreve como coletar registros de Logon único (SSO) da OneLogin configurando os webhooks de evento da OneLogin e os webhooks de HTTPS das Operações de segurança do Google.

Para mais informações, consulte Ingestão de dados para as Operações de segurança do Google.

Configurar o webhook HTTPS do Google SecOps

Criar um feed de webhook HTTPS

  1. No menu "Google Security Operations", selecione Settings > Feeds:
  2. clique em Add new;
  3. No campo Nome do feed, insira um nome para o feed.
  4. Na lista Source Type, selecione Webhook.
  5. Selecione OneLogin como o Tipo de registro.
  6. Clique em Próxima.
  7. Opcional: insira valores para os seguintes parâmetros de entrada:
    1. Delimitador de divisão: \n.
    2. Namespace do recurso: o namespace do recurso.
    3. Rótulos de ingestão: o rótulo a ser aplicado aos eventos do feed.
  8. Clique em Próxima.
  9. Revise a configuração do novo feed e clique em Enviar.
  10. Clique em Gerar chave secreta para gerar uma chave secreta e autenticar esse feed.
  11. Copie e armazene a chave secreta, porque não será possível ver este secret novamente. Você pode gerar uma nova chave secreta, mas essa regeneração fará com que a a chave secreta anterior está obsoleta.
  12. Na guia Detalhes, copie o URL do endpoint do feed em Informações do endpoint . Insira este URL de endpoint no seu webhook de eventos da OneLogin.
  13. Clique em Concluído.

Criar uma chave de API para o feed de webhook HTTPS

  1. Acesse a página "Credenciais" do console do Google Cloud.
  2. Clique em Criar credenciais e selecione a chave de API.
  3. Copie e armazene a chave de API.
  4. Restrinja o acesso da chave de API à API Chronicle.

Configurar o webhook de eventos da OneLogin

O webhook de eventos da OneLogin permite transmitir dados de eventos da OneLogin para Operações de segurança do Google que aceita dados no formato JSON. Essa integração permite monitorar atividades, alertar sobre ameaças e executar fluxos de trabalho relacionados a identidades baseadas em eventos em todo o ambiente da OneLogin e do Google Security Operations.

  1. Faça login no portal de administração da OneLogin.
  2. Acesse a guia "Desenvolvedores" > Webhooks > New Webhook e depois Event Webhook para Log Management.

  3. Digite os seguintes detalhes:

    • No campo Nome, use Google SecOps.
    • No campo Formato, digite SIEM (NDJSON).
    • No URL do listener, insira o endpoint do webhook de SecOps do Google que vai receber os dados de eventos da OneLogin.
    • Em Custom Headers, ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Clique em Salvar. Atualize a página para conferir se o novo webhook nos transmissores de eventos do OneLogin está conectado.