收集 OneLogin 单点登录 (SSO) 日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何通过配置 OneLogin 事件 Webhook 和 Google 安全运营 HTTPS Webhook 来收集 OneLogin 单点登录 (SSO) 日志。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
配置 Google SecOps HTTPS Webhook
创建 HTTPS Webhook Feed
- 在 Google 安全运营菜单中,依次选择设置 > Feed。
- 点击新增。
- 在Feed 名称字段中,输入 Feed 的名称。
- 在来源类型列表中,选择 Webhook。
- 选择 OneLogin 作为日志类型。
- 点击下一步。
- 可选:为以下输入参数输入值:
- 分隔符:
\n。 - 资源命名空间:资源命名空间。
- 提取标签:要应用于此 Feed 中的事件的标签。
- 分隔符:
- 点击下一步。
- 检查新的 Feed 配置,然后点击提交。
- 点击生成 Secret 密钥,生成用于对此 Feed 进行身份验证的 Secret 密钥。
- 复制并存储 Secret 密钥,因为您将无法再次查看此 Secret。您可以生成新的密钥,但重新生成密钥会使之前的密钥过时。
- 在详情标签页中,从端点信息字段复制 Feed 端点网址。在 OneLogin 事件钩子中输入此端点网址。
- 点击完成。
为 HTTPS webhook Feed 创建 API 密钥
- 前往 Google Cloud 控制台的“凭据”页面。
- 点击创建凭据,然后选择 API 密钥。
- 复制并存储 API 密钥。
- 限制 API 密钥对 Chronicle API 的访问权限。
配置 OneLogin 事件 Webhook
借助 OneLogin 事件 webhook,您可以将 OneLogin 事件数据流式传输到接受 JSON 格式数据的 Google 安全运营团队。通过这项集成,您可以在 OneLogin 和 Google Security Operations 环境中监控活动、针对威胁发出提醒,以及执行基于事件的身份相关工作流。
- 登录 OneLogin 管理控制台。
- 依次前往“开发者”标签页 > Webhook > 新建 Webhook,然后选择用于日志管理的事件 Webhook。
输入以下详细信息:
- 在名称字段中,输入
Google SecOps。 - 在 Format 字段中,输入
SIEM (NDJSON)。 - 在监听器网址中,输入将接收 OneLogin 事件数据的 Google SecOps Webhook 端点。
- 在自定义标头中,按以下格式在自定义标头中指定 API 密钥和密钥,以启用身份验证:
X-goog-api-key:API_KEYX-Webhook-Access-Key:SECRET- 在名称字段中,输入
点击保存。刷新页面,您会在 OneLogin 事件广播器中看到新 webhook 已关联。