Connecteur OneLogin IAM Platform (avec Azure Functions) pour Microsoft Sentinel
Le connecteur de données OneLogin offre la possibilité d’ingérer les événements courants de la plateforme OneLogin IAM dans Microsoft Sentinel via des webhooks. L’API de webhook d’événement OneLogin, également appelée Diffuseur d’événements, envoie des lots d’événements en quasi-temps réel à un point de terminaison que vous spécifiez. Quand une modification se produit dans OneLogin, une requête HTTPS POST avec des informations d’événement est envoyée à une URL de connecteur de données de rappel. Pour plus d’informations, consultez la documentation des webhooks. Le connecteur permet d’obtenir les événements pour examiner les risques de sécurité potentiels, analyser la collaboration de votre équipe, diagnostiquer les problèmes de configuration, etc.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | OneLogin_CL |
| Support des Règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Événements OneLogin - Toutes les activités.
OneLogin
| sort by TimeGenerated desc
Prérequis
Pour intégrer OneLogin IAM Platform (avec Azure Functions), assurez-vous de disposer des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Informations d’identification/autorisations des webhooks : OneLoginBearerToken et l’URL de rappel sont requis pour le fonctionnement des webhooks. Consultez la documentation pour en savoir plus sur la configuration des webhooks. Vous devez générer OneLoginBearerToken en fonction de vos exigences de sécurité et l’utiliser dans la section En-têtes personnalisés au format : Autorisation : OneLoginBearerToken porteur. Format des journaux : tableau JSON.
Instructions d’installation du fournisseur
Notes
Ce connecteur de données utilise Azure Functions basé sur le déclencheur HTTP pour les requêtes POST en attente avec des journaux d’activité pour extraire ses journaux dans Microsoft Sentinel. Cela risque de générer des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
(Étape facultative) Stockez en toute sécurité les clés ou les jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Notes
Ce connecteur de données dépend d’un analyseur basé sur une fonction Kusto pour fonctionner comme prévu, OneLogin, qui est déployé avec la solution Microsoft Sentinel.
ÉTAPE 1 - Étapes de configuration pour OneLogin
Suivez les instructions pour configurer des webhooks.
- Générez la valeur OneLoginBearerToken en fonction de votre stratégie de mot de passe.
- Définissez l’en-tête personnalisé au format : Autorisation : Porteur
<OneLoginBearerToken>. - Utilisez le format de journaux de tableau JSON.
ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : Avant de déployer le connecteur de données OneLogin, assurez-vous de disposer de l’ID d’espace de travail et de la clé primaire de l’espace de travail (vous pouvez les copier à partir de ce qui suit).
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.