收集 OneLogin 單一登入 (SSO) 記錄

本文說明如何設定 OneLogin 事件 Webhook 和 Google Security Operations HTTPS Webhook，以收集 OneLogin 單一登入 (SSO) 記錄。

詳情請參閱「將資料擷取至 Google Security Operations」。

設定 Google SecOps HTTPS Webhook

建立 HTTPS Webhook 動態饋給

1. 在 Google Security Operations 選單中，依序選取「設定」 >「動態消息」。
2. 按一下「新增」。
3. 在「動態饋給名稱」欄位中，輸入動態饋給名稱。
4. 在「來源類型」清單中，選取「Webhook」。
5. 選取「OneLogin」做為「記錄類型」。
6. 點選「下一步」。
7. 選用：輸入下列輸入參數的值：
   1. 分割分隔符：\n。
   2. 資產命名空間：資產命名空間。
   3. 擷取標籤：要套用至這個動態饋給事件的標籤。
8. 點選「下一步」。
9. 檢查新的動態消息設定，然後按一下「提交」。
10. 按一下「產生密鑰」，產生驗證這個動態消息的密鑰。
11. 複製並儲存密鑰，因為您無法再次查看這個密鑰。您可以產生新的密鑰，但重新產生密鑰會使先前的密鑰失效。
12. 在「詳細資料」分頁的「端點資訊」欄位中，複製動態消息端點網址。在 OneLogin 事件 Webhook 中輸入這個端點網址。
13. 按一下 [完成]。

為 HTTPS Webhook 動態饋給建立 API 金鑰

1. 前往 Google Cloud 控制台的「憑證」頁面。
2. 按一下「建立憑證」，然後選取「API 金鑰」。
3. 複製並儲存 API 金鑰。
4. 限制 API 金鑰對 Chronicle API 的存取權。

設定 OneLogin 事件 Webhook

OneLogin 事件 Webhook 可讓您將 OneLogin 事件資料串流至 Google Security Operations，後者接受 JSON 格式的資料。整合後，您就能在 OneLogin 和 Google Security Operations 環境中，監控活動、針對威脅發出快訊，以及執行以事件為基礎的身分相關工作流程。

1. 登入 OneLogin 管理員入口網站。
2. 依序前往「開發人員」分頁標籤 >「Webhook」>「新增 Webhook」，然後選擇「Event Webhook for Log Management」。

3. 輸入下列詳細資訊：

   • 在「Name」(名稱) 欄位中輸入 Google SecOps。
   • 在「Format」(格式) 欄位中輸入 SIEM (NDJSON)。
   • 在「Listener URL」中，輸入將接收 OneLogin 事件資料的 Google SecOps Webhook 端點。
   • 在「自訂標頭」中，以以下格式在自訂標頭中指定 API 金鑰和密鑰，啟用驗證：

   X-goog-api-key:API_KEY

   X-Webhook-Access-Key:SECRET

4. 按一下 [儲存]。重新整理頁面，即可在 OneLogin Event Broadcasters 中看到已連結的新 Webhook。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。