Megosztás a következőn keresztül:

OneLogin IAM Platform(az Azure Functions használatával) összekötő a Microsoft Sentinelhez

  • Cikk

A OneLogin adatösszekötő lehetővé teszi a OneLogin IAM platform gyakori eseményeinek a Microsoft Sentinelbe való betöltését Webhookokon keresztül. Az eseményközvetítőként is ismert OneLogin Event Webhook API közel valós időben küldi el az események kötegeit egy ön által megadott végpontra. Ha változás történik a OneLoginban, a rendszer egy eseményadatokat tartalmazó HTTPS POST-kérést küld egy visszahívási adatösszekötő URL-címére. További információért tekintse meg a Webhooks dokumentációját . Az összekötő olyan események lekérését teszi lehetővé, amelyek segítenek a lehetséges biztonsági kockázatok vizsgálatában, a csapat együttműködésének elemzésében, a konfigurációs problémák diagnosztizálásában és egyebekben.

Ez automatikusan létrehozott tartalom. A módosításokért forduljon a megoldásszolgáltatóhoz.

Csatlakozás or attribútumok

Csatlakozás or attribútum Leírás
Log Analytics-tábla(ok) OneLogin_CL
Adatgyűjtési szabályok támogatása Jelenleg nem támogatott
Támogatja: Microsoft Corporation

Példák lekérdezésekre

OneLogin-események – Minden tevékenység.

OneLogin

| sort by TimeGenerated desc

Előfeltételek

A OneLogin IAM Platformmal való integráláshoz (az Azure Functions használatával) győződjön meg arról, hogy rendelkezik a következőkkel:

  • Microsoft.Web/sites engedélyek: Olvasási és írási engedélyek szükségesek az Azure Functionshez egy függvényalkalmazás létrehozásához. Az Azure Functionsről további információt a dokumentációban talál.
  • Webhookok hitelesítő adatai/engedélyei: OneLoginBearerToken, Visszahívási URL-cím szükséges a működő webhookokhoz. A webhookok konfigurálásával kapcsolatos további információkért tekintse meg a dokumentációt. A OneLoginBearerTokent a biztonsági követelményeknek megfelelően kell létrehoznia, és az Egyéni fejlécek szakaszban kell használnia a következő formátumban: Engedélyezés: Bearer OneLoginBearerToken. Naplóformátum: JSON-tömb.

Szállító telepítési útmutatója

Feljegyzés

Ez az adatösszekötő HTTP-triggeren alapuló Azure Functionst használ a naplókkal rendelkező POST-kérelmek várakozásához, hogy lekérje a naplóit a Microsoft Sentinelbe. Ez további adatbetöltési költségeket eredményezhet. A részletekért tekintse meg az Azure Functions díjszabási oldalát .

(Nem kötelező lépés) Biztonságosan tárolhatja a munkaterületet és az API engedélyezési kulcsát vagy jogkivonatát az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

Feljegyzés

Ez az adatösszekötő egy Kusto-függvényen alapuló elemzőtől függ, amely a Várt OneLogin-nak megfelelően működik, amely a Microsoft Sentinel-megoldással van üzembe helyezve.

1. LÉPÉS – A OneLogin konfigurációs lépései

Kövesse az utasításokat a webhookok konfigurálásához.

  1. Hozza létre a OneLoginBearerTokent a jelszóházirendnek megfelelően.
  2. Egyéni fejléc beállítása a következő formátumban: Engedélyezés: Tulajdonos <OneLoginBearerToken>.
  3. Használja a JSON-tömbnaplók formátumát.

2. LÉPÉS – Válasszon egyet az alábbi két üzembehelyezési lehetőség közül az összekötő és a társított Azure-függvény üzembe helyezéséhez

FONTOS: A OneLogin-adatösszekötő üzembe helyezése előtt rendelkeznie kell a munkaterület azonosítójával és a munkaterület elsődleges kulcsával (az alábbiakból másolható).

Következő lépések

További információ: a kapcsolódó megoldás az Azure Marketplace-en.