Questo documento descrive come raccogliere i log del servizio SSO (Single Sign-On) di OneLogin
configurando i webhook eventi di OneLogin e i webhook HTTPS di Google Security Operations.
Nel menu di Google Security Operations, seleziona Impostazioni > Feed.
Fai clic su Aggiungi nuovo.
Nel campo Nome feed, inserisci un nome per il feed.
Nell'elenco Tipo di origine, seleziona Webhook.
Seleziona OneLogin come Tipo di log.
Fai clic su Avanti.
(Facoltativo) Inserisci i valori per i seguenti parametri di input:
Delimitatore di divisione: \n.
Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed e poi fai clic su Invia.
Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
Copia e memorizza la chiave segreta, perché non potrai più visualizzarla. Puoi
generare una nuova chiave segreta, ma la rigenerazione della chiave segreta rende
obsoleta la precedente.
Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Inserisci questo URL dell'endpoint nel webhook eventi di OneLogin.
Fai clic su Fine.
Creare una chiave API per il feed webhook HTTPS
Vai alla pagina Credenziali della console Google Cloud .
Fai clic su Crea credenziali e poi seleziona Chiave API.
Copia e memorizza la chiave API.
Limita l'accesso della chiave API all'API Chronicle.
Configura il webhook eventi OneLogin
Il webhook eventi OneLogin ti consente di trasmettere in streaming i dati degli eventi OneLogin a
Google Security Operations, che accetta i dati in formato JSON.
Questa integrazione ti consente di monitorare le attività, inviare avvisi sulle minacce ed eseguire
flussi di lavoro basati su eventi correlati all'identità nell'ambiente OneLogin e Google Security Operations.
Accedi al portale di amministrazione OneLogin.
Vai alla scheda Sviluppatori > Webhook > Nuovo webhook e poi scegli Webhook evento per la gestione dei log.
Inserisci i seguenti dettagli:
Nel campo Nome, inserisci Google SecOps.
Nel campo Format (Formato), inserisci SIEM (NDJSON).
In Listener URL (URL listener), inserisci l'endpoint webhook di Google SecOps che riceverà i dati sugli eventi da OneLogin.
In Intestazioni personalizzate, attiva l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:
X-goog-api-key:API_KEY
X-Webhook-Access-Key:SECRET
Fai clic su Salva. Aggiorna la pagina per visualizzare il nuovo webhook in OneLogin Event Broadcasters come connesso.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Collect OneLogin Single Sign-On (SSO) logs\n==========================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n\nThis document describes how you can collect OneLogin Single Sign-On (SSO) logs\nby configuring OneLogin Event Webhooks and Google Security Operations HTTPS Webhooks.\n\nFor more information, see [Data ingestion to Google Security Operations](/chronicle/docs/data-ingestion-flow).\n\nConfigure Google SecOps HTTPS Webhook\n-------------------------------------\n\n### Create an HTTPS webhook feed\n\n1. From the Google Security Operations menu, select **Settings** \\\u003e **Feeds**.\n2. Click **Add new**.\n3. In the **Feed name** field, enter a name for the feed.\n4. In the **Source Type** list, select **Webhook**.\n5. Select **OneLogin** as the **Log type**.\n6. Click **Next**.\n7. Optional: Enter values for the following input parameters:\n 1. **Split delimiter** : `\\n`.\n 2. **Asset namespace**: the asset namespace.\n 3. **Ingestion labels**: the label to be applied to the events from this feed.\n8. Click **Next**.\n9. Review your new feed configuration, and then click **Submit**.\n10. Click **Generate Secret Key** to generate a secret key to authenticate this feed.\n11. Copy and store the secret key as you cannot view this secret again. You can generate a new secret key, but regeneration of the secret key makes the previous secret key obsolete.\n12. From the **Details** tab, copy the feed endpoint URL from the **Endpoint Information** field. Enter this endpoint URL in your OneLogin Event Webhook.\n13. Click **Done**.\n\n### Create an API key for the HTTPS webhook feed\n\n1. Go to the Google Cloud console console Credentials page.\n2. Click **Create credentials**, and then select API key.\n3. Copy and store the API key.\n4. Restrict the API key access to the Chronicle API.\n\nConfigure OneLogin Event Webhook\n--------------------------------\n\nThe OneLogin Event Webhook lets you stream OneLogin event data to\nGoogle Security Operations which accepts data in JSON format.\nThis integration lets you monitor activities, alert on threats, and execute\nevent-based identity related workflows across your OneLogin and Google Security Operations environment.\n\n1. Log on to the OneLogin admin portal.\n2. Go to the Developers tab \\\u003e **Webhooks** \\\u003e **New Webhook** , and then choose **Event Webhook for Log Management**.\n3. Enter the following details:\n\n - In the **Name** field, enter `Google SecOps`.\n - In the **Format** field, enter `SIEM (NDJSON)`.\n - In the **Listener URL**, enter the Google SecOps Webhook endpoint that will receive the event data from OneLogin.\n - In the **Custom Headers**, enable authentication by specifying the API key and secret key as part of the custom header in the following format:\n\n `X-goog-api-key:API_KEY`\n\n `X-Webhook-Access-Key:SECRET`\n4. Click **Save**. Refresh the page to see the new webhook in your OneLogin Event Broadcasters as connected.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]