Raccogliere i log del Single Sign-On (SSO) di OneLogin

Questo documento descrive come raccogliere i log del servizio SSO (Single Sign-On) di OneLogin configurando i webhook eventi di OneLogin e i webhook HTTPS di Google Security Operations.

Per ulteriori informazioni, consulta Importazione dei dati in Google Security Operations.

Configura il webhook HTTPS di Google SecOps

Crea un feed webhook HTTPS

1. Nel menu di Google Security Operations, seleziona Impostazioni > Feed.
2. Fai clic su Aggiungi nuovo.
3. Nel campo Nome feed, inserisci un nome per il feed.
4. Nell'elenco Tipo di origine, seleziona Webhook.
5. Seleziona OneLogin come Tipo di log.
6. Fai clic su Avanti.
7. (Facoltativo) Inserisci i valori per i seguenti parametri di input:
   1. Delimitatore di divisione: \n.
   2. Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
   3. Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
8. Fai clic su Avanti.
9. Controlla la nuova configurazione del feed e poi fai clic su Invia.
10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
11. Copia e memorizza la chiave segreta, perché non potrai più visualizzarla. Puoi generare una nuova chiave segreta, ma la rigenerazione della chiave segreta rende obsoleta la precedente.
12. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Inserisci questo URL dell'endpoint nel webhook eventi di OneLogin.
13. Fai clic su Fine.

Creare una chiave API per il feed webhook HTTPS

1. Vai alla pagina Credenziali della console Google Cloud .
2. Fai clic su Crea credenziali e poi seleziona Chiave API.
3. Copia e memorizza la chiave API.
4. Limita l'accesso della chiave API all'API Chronicle.

Configura il webhook eventi OneLogin

Il webhook eventi OneLogin ti consente di trasmettere in streaming i dati degli eventi OneLogin a Google Security Operations, che accetta i dati in formato JSON. Questa integrazione ti consente di monitorare le attività, inviare avvisi sulle minacce ed eseguire flussi di lavoro basati su eventi correlati all'identità nell'ambiente OneLogin e Google Security Operations.

1. Accedi al portale di amministrazione OneLogin.
2. Vai alla scheda Sviluppatori > Webhook > Nuovo webhook e poi scegli Webhook evento per la gestione dei log.

3. Inserisci i seguenti dettagli:

   • Nel campo Nome, inserisci Google SecOps.
   • Nel campo Format (Formato), inserisci SIEM (NDJSON).
   • In Listener URL (URL listener), inserisci l'endpoint webhook di Google SecOps che riceverà i dati sugli eventi da OneLogin.
   • In Intestazioni personalizzate, attiva l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:

   X-goog-api-key:API_KEY

   X-Webhook-Access-Key:SECRET

4. Fai clic su Salva. Aggiorna la pagina per visualizzare il nuovo webhook in OneLogin Event Broadcasters come connesso.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.