OneLogin シングル サインオン(SSO)ログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、OneLogin Event Webhook と Google Security Operations HTTPS Webhook を構成して OneLogin シングル サインオン(SSO)のログを収集する方法について説明します。
詳細については、Google Security Operations へのデータの取り込みの概要をご覧ください。
Google SecOps HTTPS Webhook を構成する
HTTPS Webhook フィードを作成する
- Google Security Operations メニューから、[設定] > [フィード] を選択します。
- [新しく追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します。
- [ソースタイプ] リストで、[Webhook] を選択します。
- [ログタイプ] として [OneLogin] を選択します。
- [次へ] をクリックします。
- 省略可: 次の入力パラメータの値を入力します。
- 分割区切り文字:
\n。 - アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- 分割区切り文字:
- [次へ] をクリックします。
- 新しいフィードの設定を確認し、[送信] をクリックします。
- [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
- このシークレットは再び表示できないため、秘密鍵をコピーして保存します。新しいシークレット キーを生成できますが、シークレット キーを再生成すると、以前のシークレット キーは無効になります。
- [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL を OneLogin Event Webhook に入力します。
- [完了] をクリックします。
HTTPS Webhook フィード用の API キーを作成する
- Google Cloud コンソールの [認証情報] ページに移動します。
- [認証情報を作成] をクリックして API キーを選択します。
- API キーをコピーして保存します。
- API キーへのアクセスを Chronicle API に限定します。
OneLogin Event Webhook を構成する
OneLogin Event Webhook を使用すると、OneLogin イベントデータを Google Security Operations にストリーミングできます。Google Security Operations は JSON 形式のデータを受け付けます。 この統合により、OneLogin と Google Security Operations 環境全体でアクティビティをモニタリングし、脅威に関するアラートを生成し、イベントベースの ID 関連のワークフローを実行できます。
- OneLogin 管理ポータルにログインします。
- [デベロッパー] タブ > [Webhooks] > [新しい Webhook] に移動し、[ログ管理用の Event Webhook] を選択します。
次の詳細情報を入力します。
- [名前] フィールドに「
Google SecOps」と入力します。 - [Format] フィールドに「
SIEM (NDJSON)」と入力します。 - [リスナー URL] に、OneLogin からイベントデータを受信する Google SecOps Webhook エンドポイントを入力します。
- [カスタム ヘッダー] で、次の形式でカスタム ヘッダーの一部として API キーと秘密鍵を指定して、認証を有効にします。
X-goog-api-key:API_KEYX-Webhook-Access-Key:SECRET- [名前] フィールドに「
[保存] をクリックします。ページを更新すると、OneLogin イベント ブロードキャスターに新しい Webhook が接続済みとして表示されます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。