Logs der OneLogin-Einmalanmeldung (SSO) erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Protokolle für die Einmalanmeldung (Single Sign-On, SSO) von OneLogin erfassen können, indem Sie OneLogin-Event-Webhooks und Google Security Operations-HTTPS-Webhooks konfigurieren.

Weitere Informationen finden Sie unter Datenaufnahme in Google Security Operations.

Google SecOps-HTTPS-Webhook konfigurieren

HTTPS-Webhook-Feed erstellen

  1. Wählen Sie im Google Security Operations-Menü Einstellungen > Feeds aus.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein.
  4. Wählen Sie in der Liste Quelltyp die Option Webhook aus.
  5. Wählen Sie OneLogin als Log type (Protokolltyp) aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Geben Sie Werte für die folgenden Eingabeparameter ein:
    1. Trennzeichen für Aufteilung: \n.
    2. Asset-Namespace: Der Asset-Namespace.
    3. Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet werden soll.
  8. Klicken Sie auf Weiter.
  9. Prüfen Sie die neue Feedkonfiguration und klicken Sie dann auf Senden.
  10. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren Sie den geheimen Schlüssel und speichern Sie ihn, da Sie ihn nicht noch einmal aufrufen können. Sie können einen neuen geheimen Schlüssel generieren, aber durch die Neugenerierung wird der vorherige geheime Schlüssel ungültig.
  12. Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Geben Sie diese Endpunkt-URL in Ihren OneLogin-Event-Webhook ein.
  13. Klicken Sie auf Fertig.

API-Schlüssel für den HTTPS-Webhook-Feed erstellen

  1. Rufen Sie in der Google Cloud Console die Seite „Anmeldedaten“ auf.
  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie dann „API-Schlüssel“ aus.
  3. Kopieren und speichern Sie den API-Schlüssel.
  4. Schränken Sie den API-Schlüsselzugriff auf die Chronicle API ein.

OneLogin-Ereignis-Webhook konfigurieren

Mit dem OneLogin-Ereignis-Webhook können Sie OneLogin-Ereignisdaten an Google Security Operations streamen, das Daten im JSON-Format akzeptiert. Mit dieser Integration können Sie Aktivitäten überwachen, bei Bedrohungen Benachrichtigungen erhalten und ereignisbasierte identitätsbezogene Workflows in Ihrer OneLogin- und Google Security Operations-Umgebung ausführen.

  1. Melden Sie sich im OneLogin-Adminportal an.
  2. Rufen Sie den Tab „Entwickler“ > Webhooks > Neuer Webhook auf und wählen Sie dann Event-Webhook für die Log-Verwaltung aus.
  3. Geben Sie die folgenden Informationen ein:

    • Geben Sie im Feld Name Google SecOps ein.
    • Geben Sie im Feld Format den Wert SIEM (NDJSON) ein.
    • Geben Sie in das Feld Listener URL (Listener-URL) den Google SecOps-Webhook-Endpunkt ein, der die Ereignisdaten von OneLogin empfängt.
    • Aktivieren Sie im Bereich Benutzerdefinierte Header die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Klicken Sie auf Speichern. Aktualisieren Sie die Seite, damit der neue Webhook in Ihren OneLogin Event Broadcasters als verbunden angezeigt wird.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten