Mengumpulkan log Single Sign-On (SSO) OneLogin

Didukung di:

Dokumen ini menjelaskan cara mengumpulkan log Single Sign-On (SSO) OneLogin dengan mengonfigurasi Webhook Peristiwa OneLogin dan Webhook HTTPS Google Security Operations.

Untuk mengetahui informasi selengkapnya, lihat Penyerapan data ke Google Security Operations.

Mengonfigurasi Webhook HTTPS Google SecOps

Membuat feed webhook HTTPS

  1. Dari menu Google Security Operations, pilih Settings > Feeds.
  2. Klik Tambahkan baru.
  3. Di kolom Nama feed, masukkan nama untuk feed.
  4. Dalam daftar Jenis Sumber, pilih Webhook.
  5. Pilih OneLogin sebagai Jenis log.
  6. Klik Berikutnya.
  7. Opsional: Masukkan nilai untuk parameter input berikut:
    1. Pemisah pemisahan: \n.
    2. Namespace aset: namespace aset.
    3. Label penyerapan: label yang akan diterapkan ke peristiwa dari feed ini.
  8. Klik Berikutnya.
  9. Tinjau konfigurasi feed baru Anda, lalu klik Kirim.
  10. Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
  11. Salin dan simpan kunci rahasia karena Anda tidak dapat melihat rahasia ini lagi. Anda dapat membuat kunci rahasia baru, tetapi pembuatan ulang kunci rahasia akan membuat kunci rahasia sebelumnya tidak berlaku.
  12. Dari tab Detail, salin URL endpoint feed dari kolom Informasi Endpoint. Masukkan URL endpoint ini di Webhook Acara OneLogin Anda.
  13. Klik Selesai.

Buat kunci API untuk feed webhook HTTPS

  1. Buka halaman Credentials di konsol Google Cloud .
  2. Klik Create credentials, lalu pilih API key.
  3. Salin dan simpan kunci API.
  4. Membatasi akses kunci API ke Chronicle API.

Mengonfigurasi Webhook Peristiwa OneLogin

Dengan OneLogin Event Webhook, Anda dapat melakukan streaming data peristiwa OneLogin ke Google Security Operations yang menerima data dalam format JSON. Integrasi ini memungkinkan Anda memantau aktivitas, mendapatkan pemberitahuan tentang ancaman, dan menjalankan alur kerja terkait identitas berbasis peristiwa di seluruh lingkungan OneLogin dan Google Security Operations Anda.

  1. Login ke portal admin OneLogin.
  2. Buka tab Developers > Webhooks > New Webhook, lalu pilih Event Webhook for Log Management.

  3. Masukkan detail berikut:

    • Di kolom Name, masukkan Google SecOps.
    • Di kolom Format, masukkan SIEM (NDJSON).
    • Di Listener URL, masukkan endpoint Webhook Google SecOps yang akan menerima data peristiwa dari OneLogin.
    • Di Header Kustom, aktifkan autentikasi dengan menentukan kunci API dan kunci rahasia sebagai bagian dari header kustom dalam format berikut:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Klik Simpan. Muat ulang halaman untuk melihat webhook baru di OneLogin Event Broadcasters Anda sebagai terhubung.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.