收集 OneLogin 单点登录 (SSO) 日志

支持的语言:

本文档介绍了如何通过配置 OneLogin 事件 Webhook 和 Google Security Operations HTTPS Webhook 来收集 OneLogin 单点登录 (SSO) 日志。

如需了解详情,请参阅将数据注入 Google Security Operations

配置 Google SecOps HTTPS Webhook

创建 HTTPS 网络钩子 Feed

  1. 在 Google Security Operations 菜单中,依次选择设置 > Feed
  2. 点击新增
  3. Feed 名称字段中,输入 Feed 的名称。
  4. 来源类型列表中,选择 Webhook
  5. 选择 OneLogin 作为日志类型
  6. 点击下一步
  7. 可选:为以下输入参数输入值:
    1. 拆分分隔符\n
    2. 资产命名空间:资产命名空间。
    3. 注入标签:要应用于此 Feed 中事件的标签。
  8. 点击下一步
  9. 检查新的 Feed 配置,然后点击提交
  10. 点击生成密钥,生成用于对此 Feed 进行身份验证的密钥。
  11. 复制并存储密钥,因为您无法再次查看此密钥。您可以生成新的密钥,但重新生成密钥会使之前的密钥失效。
  12. 详情标签页中,从端点信息字段复制 Feed 端点网址。在 OneLogin 事件网络钩子中输入此端点网址。
  13. 点击完成

为 HTTPS Webhook Feed 创建 API 密钥

  1. 前往 Google Cloud 控制台的“凭据”页面。
  2. 点击创建凭据,然后选择“API 密钥”。
  3. 复制并存储 API 密钥。
  4. 将 API 密钥访问权限限制为 Chronicle API。

配置 OneLogin 事件 Webhook

借助 OneLogin 事件 Webhook,您可以将 OneLogin 事件数据流式传输到 Google Security Operations,后者接受 JSON 格式的数据。通过此集成,您可以监控 OneLogin 和 Google Security Operations 环境中的活动、针对威胁发出提醒,并执行基于事件的身份相关工作流。

  1. 登录 OneLogin 管理员门户。
  2. 依次前往“开发者”标签页 > 网络钩子 > 新建网络钩子,然后选择用于日志管理的事件网络钩子
  3. 输入以下详细信息:

    • 名称字段中,输入 Google SecOps
    • 格式字段中,输入 SIEM (NDJSON)
    • 监听器网址中,输入将从 OneLogin 接收事件数据的 Google SecOps Webhook 端点。
    • 自定义标头中,通过以以下格式指定 API 密钥和密钥作为自定义标头的一部分来启用身份验证:

    X-goog-api-key:API_KEY

    X-Webhook-Access-Key:SECRET

  4. 点击保存。刷新页面,您会看到 OneLogin 事件广播器中的新 Webhook 显示为“已连接”。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。