Mengumpulkan log Single Sign-On (SSO) OneLogin

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Single Sign-On (SSO) OneLogin dengan mengonfigurasi Webhook Peristiwa OneLogin dan Webhook HTTPS Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penambahan data ke Google Security Operations.

Mengonfigurasi Webhook HTTPS Google SecOps

Membuat feed webhook HTTPS

  1. Dari menu Google Security Operations, pilih Settings > Feeds.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed.
  4. Dalam daftar Source Type, pilih Webhook.
  5. Pilih OneLogin sebagai Jenis log.
  6. Klik Berikutnya.
  7. Opsional: Masukkan nilai untuk parameter input berikut:
    1. Pemisah pemisahan: \n.
    2. Namespace aset: namespace aset.
    3. Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda, lalu klik Kirim.
  10. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
  11. Salin dan simpan kunci rahasia karena Anda tidak dapat melihat rahasia ini lagi. Anda dapat membuat kunci rahasia baru, tetapi pembuatan ulang kunci rahasia akan membuat kunci rahasia sebelumnya tidak berlaku lagi.
  12. Dari tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Masukkan URL endpoint ini di Webhook Peristiwa OneLogin Anda.
  13. Klik Done.

Membuat kunci API untuk feed webhook HTTPS

  1. Buka halaman Credentials di konsol Google Cloud.
  2. Klik Create credentials, lalu pilih API key.
  3. Salin dan simpan kunci API.
  4. Batasi akses kunci API ke Chronicle API.

Mengonfigurasi Webhook Peristiwa OneLogin

Webhook Peristiwa OneLogin memungkinkan Anda melakukan streaming data peristiwa OneLogin ke Google Security Operations yang menerima data dalam format JSON. Integrasi ini memungkinkan Anda memantau aktivitas, memberikan pemberitahuan tentang ancaman, dan menjalankan alur kerja terkait identitas berbasis peristiwa di seluruh lingkungan OneLogin dan Google Security Operations.

  1. Login ke portal admin OneLogin.
  2. Buka tab Developers > Webhooks > New Webhook, lalu pilih Event Webhook for Log Management.

  3. Masukkan detail berikut:

    • Di kolom Name, masukkan Google SecOps.
    • Di kolom Format, masukkan SIEM (NDJSON).
    • Di URL Pemroses, masukkan endpoint Webhook Google SecOps yang akan menerima data peristiwa dari OneLogin.
    • Di Header Kustom, aktifkan autentikasi dengan menentukan kunci API dan kunci secret sebagai bagian dari header kustom dalam format berikut:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Klik Save. Muat ulang halaman untuk melihat webhook baru di OneLogin Event Broadcasters sebagai terhubung.