Coletar registros de logon único (SSO) do OneLogin
Neste documento, descrevemos como coletar registros de logon único (SSO) do OneLogin configurando webhooks de eventos do OneLogin e webhooks HTTPS do Google Security Operations.
Para mais informações, consulte Ingestão de dados no Google Security Operations.
Configurar o webhook HTTPS do Google SecOps
Criar um feed de webhook HTTPS
- No menu do Google Security Operations, selecione Configurações > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed.
- Na lista Tipo de origem, selecione Webhook.
- Selecione OneLogin como o Tipo de registro.
- Clique em Próxima.
- Opcional: insira valores para os seguintes parâmetros de entrada:
- Delimitador de divisão:
\n
. - Namespace do recurso: o namespace do recurso.
- Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
- Delimitador de divisão:
- Clique em Próxima.
- Revise a nova configuração de feed e clique em Enviar.
- Clique em Gerar chave secreta para autenticar o feed.
- Copie e armazene a chave secreta, porque não será possível conferir esse secret novamente. É possível gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
- Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. Insira esse URL de endpoint no webhook de evento do OneLogin.
- Clique em Concluído.
Criar uma chave de API para o feed de webhook HTTPS
- Acesse a página "Credenciais" do console Google Cloud .
- Clique em Criar credenciais e selecione "Chave de API".
- Copie e armazene a chave de API.
- Restrinja o acesso da chave de API à API do Chronicle.
Configurar o webhook de eventos do OneLogin
O webhook de eventos do OneLogin permite transmitir dados de eventos do OneLogin para o Google Security Operations, que aceita dados no formato JSON. Com essa integração, você pode monitorar atividades, receber alertas sobre ameaças e executar fluxos de trabalho relacionados à identidade com base em eventos nos ambientes do OneLogin e do Google Security Operations.
- Faça login no portal de administração do OneLogin.
- Acesse a guia "Desenvolvedores" > Webhooks > Novo webhook e escolha Webhook de evento para gerenciamento de registros.
Digite os seguintes detalhes:
- No campo Nome, use
Google SecOps
. - No campo Formato, insira
SIEM (NDJSON)
. - Em URL do listener, insira o endpoint do webhook do Google SecOps que vai receber os dados de eventos do OneLogin.
- Em Cabeçalhos personalizados, ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
X-goog-api-key:API_KEY
X-Webhook-Access-Key:SECRET
- No campo Nome, use
Clique em Salvar. Atualize a página para ver o novo webhook conectado nos Event Broadcasters do OneLogin.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.