OneLogin シングル サインオン(SSO)ログを収集する
以下でサポートされています。
Google SecOpsSIEM
このドキュメントでは、OneLogin Event Webhook と Google Security Operations HTTPS Webhook を構成して OneLogin シングル サインオン(SSO)のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
Google SecOps HTTPS Webhook を構成する
HTTPS Webhook フィードを作成する
- Google Security Operations メニューで、[設定] > [フィード] を選択します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します。
- [ソースタイプ] リストで、[Webhook] を選択します。
- [ログタイプ] で [OneLogin] を選択します。
- [次へ] をクリックします。
- 省略可: 次の入力パラメータの値を入力します。
- 分割区切り文字:
\n。 - アセットの名前空間: アセットの名前空間。
- 取り込みラベル: このフィードのイベントに適用されるラベル。
- 分割区切り文字:
- [次へ] をクリックします。
- 新しいフィードの設定を確認し、[送信] をクリックします。
- [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
- このシークレットは再び表示できないため、秘密鍵をコピーして保存します。新しい秘密鍵を生成できますが、秘密鍵を再生成すると、以前の秘密鍵は無効になります。
- [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL を OneLogin イベント Webhook に入力します。
- [完了] をクリックします。
HTTPS Webhook フィードの API キーを作成する
- Google Cloud コンソールの [認証情報] ページに移動します。
- [認証情報を作成] をクリックし、API キーを選択します。
- API キーをコピーして保存します。
- Chronicle API への API キーアクセスを制限します。
OneLogin イベント Webhook を構成する
OneLogin Event Webhook を使用すると、OneLogin イベントデータを Google Security Operations にストリーミングできます。Google Security Operations は JSON 形式のデータを受け付けます。この統合により、OneLogin と Google Security Operations 環境全体でアクティビティをモニタリングし、脅威をアラートし、イベントベースの ID 関連ワークフローを実行できます。
- OneLogin 管理ポータルにログオンします。
- [Developers] タブ > [Webhooks] > [New Webhook] に移動し、[Event Webhook for Log Management] を選択します。
次の詳細情報を入力します。
- [名前] フィールドに「
Google SecOps」と入力します。 - [形式] フィールドに「
SIEM (NDJSON)」と入力します。 - [リスナー URL] に、OneLogin からイベントデータを受信する Google SecOps Webhook エンドポイントを入力します。
- [カスタム ヘッダー] で、次の形式でカスタム ヘッダーの一部として API キーとシークレット キーを指定して、認証を有効にします。
X-goog-api-key:API_KEYX-Webhook-Access-Key:SECRET- [名前] フィールドに「
[保存] をクリックします。ページを更新すると、OneLogin Event Broadcaster の新しい Webhook が接続済みとして表示されます。