Recopila registros de inicio de sesión único (SSO) de OneLogin

Compatible con:

En este documento, se describe cómo puedes recopilar registros de inicio de sesión único (SSO) de OneLogin configurando los webhooks de eventos de OneLogin y los webhooks HTTPS de Google Security Operations.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Configura el webhook HTTPS de Google SecOps

Crea un feed de webhook HTTPS

  1. En el menú de Operaciones de seguridad de Google, selecciona Configuración > Feeds.
  2. Haz clic en Agregar nueva.
  3. En el campo Nombre del feed, ingresa un nombre para el feed.
  4. En la lista Tipo de fuente, selecciona Webhook.
  5. Selecciona OneLogin como el Tipo de registro.
  6. Haz clic en Siguiente.
  7. Opcional: Ingresa valores para los siguientes parámetros de entrada:
    1. Delimitador de división: \n.
    2. Espacio de nombres del activo: Es el espacio de nombres del activo.
    3. Etiquetas de transferencia: Es la etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revisa la configuración del nuevo feed y, luego, haz clic en Enviar.
  10. Haz clic en Generate Secret Key para generar una clave secreta que autentique este feed.
  11. Copia y almacena la clave secreta, ya que no podrás volver a ver este secreto. Puedes generar una clave secreta nueva, pero la regeneración de la clave secreta hace que la clave secreta anterior quede obsoleta.
  12. En la pestaña Detalles, copia la URL del extremo del feed del campo Información del extremo. Ingresa esta URL de extremo en tu webhook de eventos de OneLogin.
  13. Haz clic en Listo.

Crea una clave de API para el feed de webhook HTTPS

  1. Ve a la página Credenciales de la consola de Google Cloud.
  2. Haz clic en Crear credenciales y, luego, selecciona Clave de API.
  3. Copia y almacena la clave de API.
  4. Restringe el acceso de la clave de API a la API de Chronicle.

Configura el webhook de eventos de OneLogin

El webhook de eventos de OneLogin te permite transmitir datos de eventos de OneLogin a Google Security Operations, que acepta datos en formato JSON. Esta integración te permite supervisar actividades, alertar sobre amenazas y ejecutar flujos de trabajo relacionados con la identidad basados en eventos en tu entorno de OneLogin y Google Security Operations.

  1. Accede al portal de administración de OneLogin.
  2. Ve a la pestaña Developers > Webhooks > New Webhook y, luego, elige Event Webhook for Log Management.

  3. Ingresa los siguientes detalles:

    • En el campo Nombre, ingresa Google SecOps.
    • En el campo Format, ingresa SIEM (NDJSON).
    • En URL del objeto de escucha, ingresa el extremo de webhook de Google SecOps que recibirá los datos del evento de OneLogin.
    • En Encabezados personalizados, habilita la autenticación especificando la clave de API y la clave secreta como parte del encabezado personalizado en el siguiente formato:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Haz clic en Guardar. Actualiza la página para ver el nuevo webhook en tus transmisores de eventos de OneLogin como conectado.