收集 OneLogin 單一登入 (SSO) 記錄
支援的國家/地區:
Google SecOps
SIEM
本文說明如何設定 OneLogin 事件 Webhook 和 Google Security Operations HTTPS Webhook,以收集 OneLogin 單一登入 (SSO) 記錄。
詳情請參閱「將資料擷取至 Google Security Operations」。
設定 Google SecOps HTTPS Webhook
建立 HTTPS Webhook 動態饋給
- 在 Google Security Operations 選單中,依序選取「設定」 >「動態消息」。
- 按一下「新增」。
- 在「動態饋給名稱」欄位中,輸入動態饋給名稱。
- 在「來源類型」清單中,選取「Webhook」。
- 選取「OneLogin」做為「記錄類型」。
- 點選「下一步」。
- 選用:輸入下列輸入參數的值:
- 分割分隔符:
\n。 - 資產命名空間:資產命名空間。
- 擷取標籤:要套用至這個動態饋給事件的標籤。
- 分割分隔符:
- 點選「下一步」。
- 檢查新的動態消息設定,然後按一下「提交」。
- 按一下「產生密鑰」,產生驗證這個動態消息的密鑰。
- 複製並儲存密鑰,因為您無法再次查看這個密鑰。您可以產生新的密鑰,但重新產生密鑰會使先前的密鑰失效。
- 在「詳細資料」分頁的「端點資訊」欄位中,複製動態消息端點網址。在 OneLogin 事件 Webhook 中輸入這個端點網址。
- 按一下 [完成]。
為 HTTPS Webhook 動態饋給建立 API 金鑰
- 前往 Google Cloud 控制台的「憑證」頁面。
- 按一下「建立憑證」,然後選取「API 金鑰」。
- 複製並儲存 API 金鑰。
- 限制 API 金鑰對 Chronicle API 的存取權。
設定 OneLogin 事件 Webhook
OneLogin 事件 Webhook 可讓您將 OneLogin 事件資料串流至 Google Security Operations,後者接受 JSON 格式的資料。整合後,您就能在 OneLogin 和 Google Security Operations 環境中,監控活動、針對威脅發出快訊,以及執行以事件為基礎的身分相關工作流程。
- 登入 OneLogin 管理員入口網站。
- 依序前往「開發人員」分頁標籤 >「Webhook」>「新增 Webhook」,然後選擇「Event Webhook for Log Management」。
輸入下列詳細資訊:
- 在「Name」(名稱) 欄位中輸入
Google SecOps。 - 在「Format」(格式) 欄位中輸入
SIEM (NDJSON)。 - 在「Listener URL」中,輸入將接收 OneLogin 事件資料的 Google SecOps Webhook 端點。
- 在「自訂標頭」中,以以下格式在自訂標頭中指定 API 金鑰和密鑰,啟用驗證:
X-goog-api-key:API_KEYX-Webhook-Access-Key:SECRET- 在「Name」(名稱) 欄位中輸入
按一下 [儲存]。重新整理頁面,即可在 OneLogin Event Broadcasters 中看到已連結的新 Webhook。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。