收集 OneLogin 單一登入 (SSO) 記錄
支援以下發布途徑:
Google secops
Siem
本文說明如何設定 OneLogin 事件 Webhook 和 Google 安全作業 HTTPS Webhook,收集 OneLogin 單一登入 (SSO) 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
設定 Google SecOps HTTPS Webhook
建立 HTTPS Webhook 動態饋給
- 在 Google 安全作業選單中,依序選取「設定」 >「動態饋給」。
- 按一下「新增」。
- 在「動態饋給名稱」欄位中,輸入動態饋給的名稱。
- 在「Source Type」(來源類型) 清單中,選取「Webhook」。
- 選取「OneLogin」做為「記錄類型」。
- 點按「Next」。
- 選用:輸入下列輸入參數的值:
- 分隔符號:
\n。 - Asset namespace:資產命名空間。
- 攝入標籤:要套用至這個動態饋給事件的標籤。
- 分隔符號:
- 點按「Next」。
- 查看新的動態饋給設定,然後按一下「提交」。
- 按一下「產生密鑰」,即可產生密鑰來驗證這項動態饋給。
- 您無法再次查看密鑰,因此請複製並儲存密鑰。您可以產生新的密鑰,但重新產生密鑰會使先前的密鑰失效。
- 在「Details」分頁中,從「Endpoint Information」欄位複製動態消息端點網址。在 OneLogin 事件 Webhook 中輸入這個端點網址。
- 按一下 [完成]。
為 HTTPS Webhook 動態饋給建立 API 金鑰
- 前往 Google Cloud 控制台的「憑證」頁面。
- 按一下「建立憑證」,然後選取 API 金鑰。
- 複製並儲存 API 金鑰。
- 限制 API 金鑰存取 Chronicle API。
設定 OneLogin 事件 Webhook
OneLogin 事件 Webhook 可讓您將 OneLogin 事件資料串流至 Google Security Operations,後者會接受 JSON 格式的資料。這項整合功能可讓您在 OneLogin 和 Google Security Operations 環境中監控活動、發出威脅警報,並執行事件相關身分相關工作流程。
- 登入 OneLogin 管理員入口網站。
- 依序前往「開發人員」分頁 >「Webhook」 >「新增 Webhook」,然後選擇「記錄管理的事件 Webhook」。
輸入下列詳細資訊:
- 在「Name」(名稱) 欄位中輸入
Google SecOps。 - 在「Format」欄位中輸入
SIEM (NDJSON)。 - 在「Listener URL」中,輸入 Google SecOps Webhook 端點,以便接收 OneLogin 的事件資料。
- 在「自訂標頭」中,請按照以下格式,將 API 金鑰和密鑰指定為自訂標頭的一部分,啟用驗證機制:
X-goog-api-key:API_KEYX-Webhook-Access-Key:SECRET- 在「Name」(名稱) 欄位中輸入
按一下 [儲存]。重新整理頁面,即可在 OneLogin Event Broadcaster 中看到已連結的新 webhook。
還有其他問題嗎?向社群成員和 Google SecOps 專家尋求解答。