Coletar registros de logon único (SSO) do OneLogin

Compatível com:

Este documento descreve como coletar registros de Logon único (SSO) do OneLogin configurando webhooks de eventos do OneLogin e webhooks HTTPS do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Configurar o webhook HTTPS do Google SecOps

Criar um feed de webhook HTTPS

  1. No menu "Google Security Operations", selecione Configurações > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed.
  4. Na lista Tipo de origem, selecione Webhook.
  5. Selecione OneLogin como o tipo de registro.
  6. Clique em Próxima.
  7. Opcional: insira valores para os seguintes parâmetros de entrada:
    1. Delimitador de divisão: \n.
    2. Namespace do recurso: o namespace do recurso.
    3. Rótulos de ingestão: o rótulo a ser aplicado aos eventos desse feed.
  8. Clique em Próxima.
  9. Revise a configuração do novo feed e clique em Enviar.
  10. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
  11. Copie e armazene a chave secreta, porque não será possível acessá-la novamente. É possível gerar uma nova chave secreta, mas a regeneração dela torna a chave secreta anterior obsoleta.
  12. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. Insira esse URL do endpoint no webhook de evento do OneLogin.
  13. Clique em Concluído.

Criar uma chave de API para o feed de webhook HTTPS

  1. Acesse a página de credenciais do Google Cloud console.
  2. Clique em Criar credenciais e selecione "Chave de API".
  3. Copie e armazene a chave de API.
  4. Restrinja o acesso da chave de API à API Chronicle.

Configurar o webhook de eventos da OneLogin

O webhook de evento do OneLogin permite transmitir dados de eventos do OneLogin para as operações de segurança do Google, que aceita dados no formato JSON. Essa integração permite monitorar atividades, alertar sobre ameaças e executar fluxos de trabalho relacionados à identidade com base em eventos no ambiente do OneLogin e do Google Security Operations.

  1. Faça login no portal de administração do OneLogin.
  2. Acesse a guia "Desenvolvedores" > Webhooks > Novo webhook e escolha Webhook de evento para gerenciamento de registros.

  3. Digite os seguintes detalhes:

    • No campo Nome, use Google SecOps.
    • No campo Formato, digite SIEM (NDJSON).
    • No URL do listener, insira o endpoint do webhook do Google SecOps que vai receber os dados de evento do OneLogin.
    • Em Cabeçalhos personalizados, ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Clique em Salvar. Atualize a página para conferir se o novo webhook nos transmissores de eventos do OneLogin está conectado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.