Recolha registos de Início de sessão único (SSO) do OneLogin

Compatível com:

Este documento descreve como pode recolher registos de início de sessão único (SSO) do OneLogin configurando webhooks de eventos do OneLogin e webhooks HTTPS do Google Security Operations.

Para mais informações, consulte o artigo Ingestão de dados no Google Security Operations.

Configure o webhook HTTPS do Google SecOps

Crie um feed de webhook HTTPS

  1. No menu do Google Security Operations, selecione Definições > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, introduza um nome para o feed.
  4. Na lista Tipo de origem, selecione Webhook.
  5. Selecione OneLogin como o Tipo de registo.
  6. Clicar em Seguinte.
  7. Opcional: introduza valores para os seguintes parâmetros de entrada:
    1. Delimitador de divisão: \n.
    2. Espaço de nomes do recurso: o espaço de nomes do recurso.
    3. Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
  8. Clicar em Seguinte.
  9. Reveja a nova configuração do feed e, de seguida, clique em Enviar.
  10. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar este feed.
  11. Copie e armazene a chave secreta, uma vez que não pode voltar a ver este segredo. Pode gerar uma nova chave secreta, mas a regeneração da chave secreta torna a chave secreta anterior obsoleta.
  12. No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Introduza este URL do ponto final no webhook de eventos do OneLogin.
  13. Clique em Concluído.

Crie uma chave da API para o feed de webhook HTTPS

  1. Aceda à página de credenciais da Google Cloud consola da API Google Cloud.
  2. Clique em Criar credenciais e, de seguida, selecione Chave de API.
  3. Copie e armazene a chave da API.
  4. Restrinja o acesso da chave da API à API Chronicle.

Configure o webhook de eventos do OneLogin

O webhook de eventos do OneLogin permite-lhe transmitir dados de eventos do OneLogin para o Google Security Operations, que aceita dados no formato JSON. Esta integração permite-lhe monitorizar atividades, receber alertas sobre ameaças e executar fluxos de trabalho relacionados com identidades baseados em eventos no seu ambiente do OneLogin e Google Security Operations.

  1. Inicie sessão no portal de administração do OneLogin.
  2. Aceda ao separador Developers > Webhooks > New Webhook e, de seguida, escolha Event Webhook for Log Management.

  3. Introduza os seguintes detalhes:

    • No campo Nome, introduza Google SecOps.
    • No campo Formato, introduza SIEM (NDJSON).
    • No URL do ouvinte, introduza o ponto final do webhook do Google SecOps que vai receber os dados de eventos do OneLogin.
    • Nos Cabeçalhos personalizados, ative a autenticação especificando a chave da API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Clique em Guardar. Atualize a página para ver o novo webhook nos Event Broadcasters do OneLogin como associado.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.