Protokolle für die OneLogin-Einmalanmeldung (SSO) erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Protokolle für die Einmalanmeldung (SSO) von OneLogin erfassen können indem Sie OneLogin-Ereignis-Webhooks und HTTPS-Webhooks von Google Security Operations konfigurieren.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Google SecOps-HTTPS-Webhook konfigurieren

HTTPS-Webhook-Feed erstellen

  1. Wählen Sie im Menü von Google Security Operations Settings (Einstellungen) aus. Feeds:
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein.
  4. Wählen Sie in der Liste Quelltyp die Option Webhook aus.
  5. Wählen Sie OneLogin als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Geben Sie Werte für die folgenden Eingabeparameter ein:
    1. Split delimiter (Trennzeichen für Aufteilung): Lassen Sie das Feld leer.
    2. Asset-Namespace: Der Asset-Namespace.
    3. Aufnahmelabels: das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration und klicken Sie dann auf Senden.
  10. Klicken Sie auf Generate Secret Key (Geheimen Schlüssel generieren), um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren und speichern Sie den geheimen Schlüssel, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren. Durch die Generierung eines neuen geheimen Schlüssels wird der vorherige geheime Schlüssel jedoch ungültig.
  12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Geben Sie diese Endpunkt-URL in den OneLogin-Ereignis-Webhook ein.
  13. Klicken Sie auf Fertig.

API-Schlüssel für den HTTPS-Webhook-Feed erstellen

  1. Rufen Sie in der Google Cloud Console die Seite „Anmeldedaten“ auf.
  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie „API-Schlüssel“ aus.
  3. Kopieren und speichern Sie den API-Schlüssel.
  4. Beschränken Sie den API-Schlüsselzugriff auf die Chronicle API.

OneLogin-Ereignis-Webhook konfigurieren

Mit dem OneLogin-Ereignis-Webhook können Sie OneLogin-Ereignisdaten an Google Security Operations akzeptiert Daten im JSON-Format. Über diese Integration können Sie Aktivitäten im Blick behalten, ereignisbasierte identitätsbezogene Workflows in Ihrer OneLogin- und Google Security Operations-Umgebung.

  1. Melden Sie sich im OneLogin-Admin-Portal an.
  2. Zum Tab „Entwickler“ > Webhooks > Neuer Webhook und wählen Sie dann Ereignis-Webhook für Logverwaltung aus.

  3. Geben Sie die folgenden Informationen ein:

    • Geben Sie im Feld Name Google SecOps ein.
    • Geben Sie im Feld Format den Wert SIEM (NDJSON) ein.
    • Geben Sie in die Listener-URL den Google SecOps-Webhook-Endpunkt ein, an den die Ereignisdaten von OneLogin gesendet werden.
    • Aktiviere unter Benutzerdefinierte Header die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angibst:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Klicken Sie auf Speichern. Aktualisieren Sie die Seite, damit der neue Webhook in Ihren OneLogin-Ereignis-Broadcasts als verbunden angezeigt wird.