OneLogin-SSO-Logs erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie OneLogin-SSO-Logs (Single Sign-On) erfassen, indem Sie OneLogin-Ereignis-Webhooks und HTTPS-Webhooks für Google Security Operations konfigurieren.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Google SecOps-HTTPS-Webhook konfigurieren

HTTPS-Webhook-Feed erstellen

  1. Wählen Sie im Menü „Google Security Operations“ die Option Einstellungen > Feeds aus.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein.
  4. Wählen Sie in der Liste Quelltyp die Option Webhook aus.
  5. Wählen Sie OneLogin als Logtyp aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Geben Sie Werte für die folgenden Eingabeparameter ein:
    1. Trennzeichen für Split: \n.
    2. Asset-Namespace: Der Asset-Namespace.
    3. Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration und klicken Sie dann auf Senden.
  10. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren und speichern Sie den geheimen Schlüssel, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren. Durch die Generierung eines neuen geheimen Schlüssels wird der vorherige geheime Schlüssel jedoch ungültig.
  12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Geben Sie diese Endpunkt-URL in Ihren OneLogin-Ereignis-Webhook ein.
  13. Klicken Sie auf Fertig.

API-Schlüssel für den HTTPS-Webhook-Feed erstellen

  1. Rufen Sie in der Google Cloud Console die Seite „Anmeldedaten“ auf.
  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie „API-Schlüssel“ aus.
  3. Kopieren und speichern Sie den API-Schlüssel.
  4. Beschränken Sie den API-Schlüsselzugriff auf die Chronicle API.

OneLogin-Ereignis-Webhook konfigurieren

Mit dem OneLogin-Ereignis-Webhook können Sie OneLogin-Ereignisdaten an das Google Security Operations Center streamen, das Daten im JSON-Format akzeptiert. Mit dieser Integration können Sie Aktivitäten überwachen, bei Bedrohungen benachrichtigt werden und ereignisbasierte Identitätsworkflows in Ihrer OneLogin- und Google Security Operations-Umgebung ausführen.

  1. Melden Sie sich im OneLogin-Admin-Portal an.
  2. Rufen Sie den Tab „Entwickler“ > Webhooks > Neuer Webhook auf und wählen Sie Ereignis-Webhook für die Protokollverwaltung aus.

  3. Geben Sie die folgenden Informationen ein:

    • Geben Sie im Feld Name Google SecOps ein.
    • Geben Sie im Feld Format den Wert SIEM (NDJSON) ein.
    • Geben Sie in die Listener-URL den Google SecOps-Webhook-Endpunkt ein, an den die Ereignisdaten von OneLogin gesendet werden.
    • Aktiviere unter Benutzerdefinierte Header die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angibst:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Klicken Sie auf Speichern. Aktualisieren Sie die Seite, damit der neue Webhook in Ihren OneLogin-Ereignis-Broadcasts als verbunden angezeigt wird.