Recoger registros de inicio de sesión único (SSO) de OneLogin

En este documento se describe cómo puede recoger registros de inicio de sesión único (SSO) de OneLogin configurando webhooks de eventos de OneLogin y webhooks HTTPS de Google Security Operations.

Para obtener más información, consulta Ingestión de datos en Google Security Operations.

Configurar el webhook HTTPS de Google SecOps

Crear un feed de webhook HTTPS

1. En el menú de Google Security Operations, selecciona Configuración > Feeds (Feeds).
2. Haz clic en Añadir nuevo.
3. En el campo Nombre del feed, escriba el nombre del feed.
4. En la lista Tipo de fuente, selecciona Webhook.
5. Seleccione OneLogin como Tipo de registro.
6. Haz clic en Siguiente.
7. Opcional: Introduce los valores de los siguientes parámetros de entrada:
   1. Delimitador de división: \n.
   2. Espacio de nombres de recursos: el espacio de nombres de recursos.
   3. Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
8. Haz clic en Siguiente.
9. Revise la nueva configuración de la feed y haga clic en Enviar.
10. Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
11. Copia y guarda la clave secreta, ya que no podrás volver a verla. Puedes generar una nueva clave secreta, pero si lo haces, la clave secreta anterior quedará obsoleta.
12. En la pestaña Detalles, copia la URL del endpoint del feed del campo Información del endpoint. Introduce esta URL de endpoint en tu webhook de eventos de OneLogin.
13. Haz clic en Listo.

Crear una clave de API para el feed de webhook HTTPS

1. Ve a la página Credenciales de la consola de Google Cloud console.
2. Haz clic en Crear credenciales y, a continuación, selecciona Clave de API.
3. Copia y guarda la clave de API.
4. Restringe el acceso de la clave de API a la API Chronicle.

Configurar el webhook de eventos de OneLogin

El webhook de eventos de OneLogin te permite transmitir datos de eventos de OneLogin a Google Security Operations, que acepta datos en formato JSON. Esta integración te permite monitorizar actividades, recibir alertas sobre amenazas y ejecutar flujos de trabajo relacionados con la identidad basados en eventos en tu entorno de OneLogin y Google Security Operations.

1. Inicia sesión en el portal de administración de OneLogin.
2. Ve a la pestaña Desarrolladores > Webhooks > New Webhook (Nuevo webhook) y, a continuación, elige Event Webhook for Log Management (Webhook de eventos para la gestión de registros).

3. Introduce los siguientes datos:

   • En el campo Name (Nombre), introduce Google SecOps.
   • En el campo Format (Formato), introduce SIEM (NDJSON).
   • En URL de escucha, introduce el endpoint del webhook de Google SecOps que recibirá los datos de eventos de OneLogin.
   • En Encabezados personalizados, habilita la autenticación especificando la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:

   X-goog-api-key:API_KEY

   X-Webhook-Access-Key:SECRET

4. Haz clic en Guardar. Actualiza la página para ver el nuevo webhook conectado en tus Event Broadcasters de OneLogin.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.