Raccogliere i log di Single Sign-On (SSO) di OneLogin

Supportato in:

Questo documento descrive come raccogliere i log di Single Sign-On (SSO) di OneLogin configurando gli webhook di eventi OneLogin e gli webhook HTTPS di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Configurare il webhook HTTPS di Google SecOps

Crea un feed webhook HTTPS

  1. Nel menu Operazioni di sicurezza di Google, seleziona Impostazioni > Feed.
  2. Fai clic su Aggiungi nuova.
  3. Nel campo Nome feed, inserisci un nome per il feed.
  4. Nell'elenco Tipo di origine, seleziona Webhook.
  5. Seleziona OneLogin come Tipo di log.
  6. Fai clic su Avanti.
  7. (Facoltativo) Inserisci i valori per i seguenti parametri di input:
    1. Separatore di partizione: \n.
    2. Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    3. Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Esamina la configurazione del nuovo feed e poi fai clic su Invia.
  10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  11. Copia e memorizza la chiave segreta perché non potrai più visualizzarla. Puoi generare una nuova chiave segreta, ma la rigenerazione della chiave segreta rende obsoleta la chiave segreta precedente.
  12. Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Inserisci questo URL endpoint nel webhook di eventi OneLogin.
  13. Fai clic su Fine.

Crea una chiave API per il feed webhook HTTPS

  1. Vai alla pagina Credenziali della console Google Cloud.
  2. Fai clic su Crea credenziali e poi seleziona Chiave API.
  3. Copia e memorizza la chiave API.
  4. Limita l'accesso della chiave API all'API Chronicle.

Configurare il webhook di eventi OneLogin

Il webhook degli eventi OneLogin ti consente di trasmettere in streaming i dati degli eventi OneLogin a Google Security Operations, che accetta i dati in formato JSON. Questa integrazione ti consente di monitorare le attività, inviare avvisi sulle minacce ed eseguireflussi di lavoro correlati all'identità basati su eventi nell'ambiente OneLogin e Google Security Operations.

  1. Accedi al portale di amministrazione di OneLogin.
  2. Vai alla scheda Sviluppatori > Webhook > Nuovo webhook e scegli Webhook evento per la gestione dei log.

  3. Inserisci i seguenti dettagli:

    • Nel campo Nome, inserisci Google SecOps.
    • Nel campo Formato, inserisci SIEM (NDJSON).
    • In URL listener, inserisci l'endpoint webhook di Google SecOps che riceverà i dati sugli eventi da OneLogin.
    • In Intestazioni personalizzate, abilita l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Fai clic su Salva. Aggiorna la pagina per visualizzare il nuovo webhook nei trasmettitori di eventi OneLogin come collegato.