OneLogin 싱글 사인온(SSO) 로그 수집

다음에서 지원:

이 문서에서는 OneLogin 이벤트 Webhooks와 Google Security Operations HTTPS Webhooks를 구성하여 OneLogin SSO(Single Sign-On) 로그를 수집하는 방법을 설명합니다.

자세한 내용은 Google Security Operations에 데이터 수집을 참조하세요.

Google SecOps HTTPS 웹훅 구성

HTTPS 웹훅 피드 만들기

  1. Google Security Operations 메뉴에서 설정 > 피드를 선택합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다.
  4. 소스 유형 목록에서 웹훅을 선택합니다.
  5. 로그 유형으로 OneLogin을 선택합니다.
  6. 다음을 클릭합니다.
  7. 선택사항: 다음 입력 파라미터의 값을 입력합니다.
    1. 분할 구분 기호: \n.
    2. 애셋 네임스페이스: 애셋 네임스페이스입니다.
    3. 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
  8. 다음을 클릭합니다.
  9. 새 피드 구성을 검토한 다음 제출을 클릭합니다.
  10. 보안 비밀 키 생성을 클릭하여 이 피드를 인증하기 위한 보안 비밀 키를 생성합니다.
  11. 이 보안 비밀을 다시 볼 수 없으므로 보안 비밀 키를 복사하여 저장합니다. 새 보안 비밀 키를 생성할 수 있지만 보안 비밀 키를 재생성하면 이전 보안 비밀 키가 더 이상 사용되지 않습니다.
  12. 세부정보 탭의 엔드포인트 정보 필드에서 피드 엔드포인트 URL을 복사합니다. OneLogin 이벤트 웹훅에 이 엔드포인트 URL을 입력합니다.
  13. 완료를 클릭합니다.

HTTPS 웹훅 피드에 대한 API 키 만들기

  1. Google Cloud 콘솔의 사용자 인증 정보 페이지로 이동합니다.
  2. 사용자 인증 정보 만들기를 클릭한 후 API 키를 선택합니다.
  3. API 키를 복사하여 저장합니다.
  4. Chronicle API에 대한 API 키 액세스를 제한합니다.

OneLogin 이벤트 웹훅 구성

OneLogin 이벤트 웹훅을 사용하면 JSON 형식의 데이터를 허용하는 Google Security Operations로 OneLogin 이벤트 데이터를 스트리밍할 수 있습니다. 이 통합을 사용하면 OneLogin 및 Google Security Operations 환경 전반에서 활동을 모니터링하고, 위협에 대한 알림을 받고, 이벤트 기반 ID 관련 워크플로를 실행할 수 있습니다.

  1. OneLogin 관리 포털에 로그인합니다.
  2. 개발자 탭 > 웹훅 > 새 웹훅으로 이동한 다음 로그 관리를 위한 이벤트 웹훅을 선택합니다.

  3. 다음 세부정보를 입력합니다.

    • 이름 필드에 Google SecOps를 입력합니다.
    • 형식 필드에 SIEM (NDJSON)을 입력합니다.
    • 리스너 URL에 OneLogin에서 이벤트 데이터를 수신할 Google SecOps 웹훅 엔드포인트를 입력합니다.
    • 커스텀 헤더에서 다음 형식의 커스텀 헤더의 일부로 API 키와 보안 비밀 키를 지정하여 인증을 사용 설정합니다:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. 저장을 클릭합니다. 페이지를 새로고침하여 OneLogin 이벤트 방송사의 새 웹훅이 연결된 것으로 표시됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.