Coletar registros de logon único (SSO) do OneLogin

Compatível com:

Neste documento, descrevemos como coletar registros de logon único (SSO) do OneLogin configurando webhooks de eventos do OneLogin e webhooks HTTPS do Google Security Operations.

Para mais informações, consulte Ingestão de dados no Google Security Operations.

Configurar o webhook HTTPS do Google SecOps

Criar um feed de webhook HTTPS

  1. No menu do Google Security Operations, selecione Configurações > Feeds.
  2. Clique em Adicionar novo.
  3. No campo Nome do feed, insira um nome para o feed.
  4. Na lista Tipo de origem, selecione Webhook.
  5. Selecione OneLogin como o Tipo de registro.
  6. Clique em Próxima.
  7. Opcional: insira valores para os seguintes parâmetros de entrada:
    1. Delimitador de divisão: \n.
    2. Namespace do recurso: o namespace do recurso.
    3. Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.
  8. Clique em Próxima.
  9. Revise a nova configuração de feed e clique em Enviar.
  10. Clique em Gerar chave secreta para autenticar o feed.
  11. Copie e armazene a chave secreta, porque não será possível conferir esse secret novamente. É possível gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
  12. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. Insira esse URL de endpoint no webhook de evento do OneLogin.
  13. Clique em Concluído.

Criar uma chave de API para o feed de webhook HTTPS

  1. Acesse a página "Credenciais" do console Google Cloud .
  2. Clique em Criar credenciais e selecione "Chave de API".
  3. Copie e armazene a chave de API.
  4. Restrinja o acesso da chave de API à API do Chronicle.

Configurar o webhook de eventos do OneLogin

O webhook de eventos do OneLogin permite transmitir dados de eventos do OneLogin para o Google Security Operations, que aceita dados no formato JSON. Com essa integração, você pode monitorar atividades, receber alertas sobre ameaças e executar fluxos de trabalho relacionados à identidade com base em eventos nos ambientes do OneLogin e do Google Security Operations.

  1. Faça login no portal de administração do OneLogin.
  2. Acesse a guia "Desenvolvedores" > Webhooks > Novo webhook e escolha Webhook de evento para gerenciamento de registros.
  3. Digite os seguintes detalhes:

    • No campo Nome, use Google SecOps.
    • No campo Formato, insira SIEM (NDJSON).
    • Em URL do listener, insira o endpoint do webhook do Google SecOps que vai receber os dados de eventos do OneLogin.
    • Em Cabeçalhos personalizados, ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. Clique em Salvar. Atualize a página para ver o novo webhook conectado nos Event Broadcasters do OneLogin.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.