Collecter les journaux de l'authentification unique (SSO) OneLogin

Compatible avec:

Ce document explique comment collecter des journaux d'authentification unique (SSO) OneLogin en configurant des webhooks d'événement OneLogin et des webhooks HTTPS Google Security Operations.

Pour en savoir plus, consultez Ingestion de données dans Google Security Operations.

Configurer le webhook HTTPS Google SecOps

Créer un flux webhook HTTPS

  1. Dans le menu "Google Security Operations" (Opérations de sécurité Google), sélectionnez Settings (Paramètres) > Feeds (Flux).
  2. Cliquez sur Ajouter.
  3. Dans le champ Nom du flux, saisissez le nom du flux.
  4. Dans la liste Source Type (Type de source), sélectionnez Webhook.
  5. Sélectionnez OneLogin comme Type de journal.
  6. Cliquez sur Suivant.
  7. Facultatif : saisissez des valeurs pour les paramètres d'entrée suivants :
    1. Délimiteur de fractionnement: laissez ce champ vide.
    2. Espace de noms de l'asset : espace de noms de l'asset.
    3. Libellés d'ingestion: les libellés à appliquer aux événements de ce flux.
  8. Cliquez sur Suivant.
  9. Vérifiez la configuration de votre nouveau flux, puis cliquez sur Envoyer.
  10. Cliquez sur Générer une clé secrète pour générer une clé secrète permettant d'authentifier ce flux.
  11. Copiez et stockez la clé secrète, car vous ne pourrez plus la consulter. Vous pouvez générer une nouvelle clé secrète, mais la regénération de la clé secrète la clé secrète précédente est obsolète.
  12. Dans l'onglet Détails, copiez l'URL du point de terminaison du flux dans le champ Informations sur le point de terminaison. Saisissez cette URL de point de terminaison dans votre webhook d'événement OneLogin.
  13. Cliquez sur OK.

Créer une clé API pour le flux de webhook HTTPS

  1. Accédez à la page "Identifiants" de la console Google Cloud.
  2. Cliquez sur Créer des identifiants, puis sélectionnez "Clé API".
  3. Copiez et stockez la clé API.
  4. Limitez l'accès de la clé API à l'API Chronicle.

Configurer le webhook d'événement OneLogin

Le webhook d'événement OneLogin vous permet de diffuser des données d'événement OneLogin vers Google Security Operations accepte les données au format JSON. Cette intégration vous permet de surveiller les activités, d'envoyer des alertes en cas de menace et d'exécuter des workflows liés à l'identité basés sur des événements dans votre environnement OneLogin et Google Security Operations.

  1. Connectez-vous au portail d'administration OneLogin.
  2. Accédez à l'onglet "Développeurs" > Webhooks > Nouveau webhook, puis sélectionnez Webhook d'événement pour la gestion des journaux.

  3. Saisissez les informations suivantes :

    • Dans le champ Nom, saisissez Google SecOps.
    • Dans le champ Format, saisissez SIEM (NDJSON).
    • Dans URL de l'écouteur, saisissez le point de terminaison du webhook Google SecOps qui recevra les données d'événement de OneLogin.
    • Dans la section En-têtes personnalisés, activez l'authentification en spécifiant la clé API et la clé secrète dans l'en-tête personnalisé, au format suivant:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Cliquez sur Enregistrer. Actualisez la page pour voir le nouveau webhook dans vos diffuseurs d'événements OneLogin lorsque vous êtes connecté.