OneLogin 싱글 사인온(SSO) 로그 수집

이 문서에서는 OneLogin 이벤트 Webhooks와 Google Security Operations HTTPS Webhooks를 구성하여 OneLogin SSO(Single Sign-On) 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

Google SecOps HTTPS 웹훅 구성

HTTPS 웹훅 피드 만들기

1. Google Security Operations 메뉴에서 설정 > 피드를 선택합니다.
2. 새로 추가를 클릭합니다.
3. 피드 이름 필드에 피드 이름을 입력합니다.
4. 소스 유형 목록에서 웹훅을 선택합니다.
5. 로그 유형으로 OneLogin을 선택합니다.
6. 다음을 클릭합니다.
7. 선택사항: 다음 입력 파라미터의 값을 입력합니다.
   1. 분할 구분자: \n.
   2. 애셋 네임스페이스: 애셋 네임스페이스입니다.
   3. 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
8. 다음을 클릭합니다.
9. 새 피드 구성을 검토한 다음 제출을 클릭합니다.
10. 보안 비밀 키 생성을 클릭하여 이 피드를 인증하기 위한 보안 비밀 키를 생성합니다.
11. 이 보안 비밀을 다시 볼 수 없으므로 보안 비밀 키를 복사하여 저장합니다. 새 보안 비밀 키를 생성할 수 있지만 보안 비밀 키를 재생성하면 이전 보안 비밀 키가 더 이상 사용되지 않습니다.
12. 세부정보 탭의 엔드포인트 정보 필드에서 피드 엔드포인트 URL을 복사합니다. OneLogin 이벤트 웹훅에 이 엔드포인트 URL을 입력합니다.
13. 완료를 클릭합니다.

HTTPS 웹훅 피드에 대한 API 키 만들기

1. Google Cloud 콘솔 사용자 인증 정보 페이지로 이동합니다.
2. 사용자 인증 정보 만들기를 클릭한 후 API 키를 선택합니다.
3. API 키를 복사하여 저장합니다.
4. Chronicle API에 대한 API 키 액세스를 제한합니다.

OneLogin 이벤트 웹훅 구성

OneLogin 이벤트 웹훅을 사용하면 JSON 형식의 데이터를 허용하는 Google Security Operations로 OneLogin 이벤트 데이터를 스트리밍할 수 있습니다. 이 통합을 통해 OneLogin 및 Google Security Operations 환경에서 활동을 모니터링하고, 위협에 관해 알림을 보내고, 이벤트 기반 ID 관련 워크플로를 실행할 수 있습니다.

1. OneLogin 관리 포털에 로그인합니다.
2. 개발자 탭 > 웹훅 > 새 웹훅으로 이동한 다음 로그 관리를 위한 이벤트 웹훅을 선택합니다.

3. 다음 세부정보를 입력합니다.

   • 이름 필드에 Google SecOps를 입력합니다.
   • 형식 필드에 SIEM (NDJSON)을 입력합니다.
   • 리스너 URL에 OneLogin에서 이벤트 데이터를 수신할 Google SecOps 웹훅 엔드포인트를 입력합니다.
   • 커스텀 헤더에서 다음 형식의 커스텀 헤더의 일부로 API 키와 보안 비밀 키를 지정하여 인증을 사용 설정합니다:

   X-goog-api-key:API_KEY

   X-Webhook-Access-Key:SECRET

4. 저장을 클릭합니다. 페이지를 새로고침하여 OneLogin 이벤트 방송사의 새 웹훅이 연결된 것으로 표시됩니다.