Connector „OneLogin IAM Platform (mit Azure Functions)“ für Microsoft Sentinel
Der OneLogin-Datenconnector bietet die Möglichkeit, häufige OneLogin IAM Platform-Ereignisse über Webhooks in Microsoft Sentinel zu erfassen. Die OneLogin Event Webhook-API, die auch als Ereignisbroadcaster bezeichnet wird, sendet Batches mit Ereignissen nahezu in Echtzeit an einen von Ihnen angegebenen Endpunkt. Wenn es in OneLogin zu einer Änderung kommt, wird eine HTTPS POST-Anforderung mit Ereignisinformationen an eine Datenconnector-URL für Rückrufe gesendet. Weitere Informationen finden Sie in der Dokumentation zu Webhooks. Der Connector ermöglicht das Abrufen von Ereignissen, um potenzielle Sicherheitsrisiken zu untersuchen, die Nutzung der Zusammenarbeit durch Ihr Team zu analysieren, Konfigurationsprobleme zu diagnostizieren und mehr.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | OneLogin_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
OneLogin-Ereignisse – alle Aktivitäten
OneLogin
| sort by TimeGenerated desc
Voraussetzungen
Stellen Sie für die Integration in „OneLogin IAM Platform (mit Azure Functions)“ sicher, dass Folgendes vorhanden ist:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Anmeldeinformationen/Berechtigungen für Webhooks: OneLoginBearerToken und Rückruf-URL sind für funktionierende Webhooks erforderlich. Weitere Informationen zum Konfigurieren von Webhooks finden Sie in der Dokumentation. Sie müssen ein OneLoginBearerToken gemäß Ihren Sicherheitsanforderungen generieren und im Abschnitt Benutzerdefinierte Header im Format „Autorisierung: Bearer OneLoginBearerToken“ verwenden. Protokollformat: JSON-Array.
Installationsanweisungen des Anbieters
Hinweis
Dieser Datenconnector verwendet Azure Functions – basierend auf dem HTTP-Trigger für wartende POST-Anforderungen mit Protokollen –, um die zugehörigen Protokolle in Microsoft Sentinel zu pullen. Dadurch fallen ggf. zusätzliche Datenerfassungskosten an. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Hinweis
Dieser Datenconnector benötigt einen Parser, der auf einer Kusto-Funktion basiert, damit er wie erwartet funktioniert: OneLogin, bereitgestellt mit der Microsoft Sentinel-Lösung.
SCHRITT 1: Konfigurationsschritte für OneLogin
Folgen Sie den Anleitungen zum Konfigurieren von Webhooks.
- Generieren Sie das OneLoginBearerToken entsprechend Ihrer Kennwortrichtlinie.
- Legen Sie den benutzerdefinierten Header im Format „Autorisierung: Bearer OneLoginBearerToken“ fest.
- Verwenden Sie das JSON-Arrayprotokollformat.
SCHRITT 2: Auswählen EINER der folgenden beiden Bereitstellungsoptionen, um den Connector und die zugehörige Azure-Funktion bereitzustellen
WICHTIG: Für die Bereitstellung des OneLogin-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs zur Hand haben (die entsprechenden Informationen können wie folgt kopiert werden).
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.