Konektor OneLogin IAM Platform(menggunakan Azure Functions) untuk Microsoft Sentinel

  • Artikel

Konektor data OneLogin menyediakan kemampuan untuk menyerap peristiwa Platform IAM OneLogin umum ke Microsoft Sentinel melalui Webhook. ONELogin Event Webhook API yang juga dikenal sebagai Event Broadcaster akan mengirim batch peristiwa mendekati real time ke titik akhir yang Anda tentukan. Ketika perubahan terjadi di OneLogin, permintaan HTTPS POST dengan informasi peristiwa dikirim ke URL konektor data panggilan balik. Lihat dokumentasi Webhooks untuk informasi selengkapnya. Konektor menyediakan kemampuan untuk mendapatkan peristiwa yang membantu memeriksa potensi risiko keamanan, menganalisis penggunaan kolaborasi tim Anda, mendiagnosis masalah konfigurasi, dan banyak lagi.

Ini adalah konten yang dibuat secara otomatis. Untuk perubahan, hubungi penyedia solusi.

atribut Koneksi or

Atribut konektor Deskripsi
Tabel Log Analytics OneLogin_CL
Dukungan aturan pengumpulan data Saat ini tidak didukung
Didukung oleh Microsoft Corporation

Kueri sampel

Kejadian OneLogin - Semua Aktivitas.

OneLogin

| sort by TimeGenerated desc

Prasyarat

Untuk berintegrasi dengan OneLogin IAM Platform(menggunakan Azure Functions) pastikan Anda memiliki:

  • Izin Microsoft.Web/sites: Izin baca dan tulis ke Azure Functions untuk membuat Aplikasi Fungsi diperlukan. Lihat dokumentasi untuk mempelajari selengkapnya tentang Azure Functions.
  • Kredensial/izin Webhooks: OneLoginBearerToken, URL Panggilan Balik diperlukan untuk Webhook yang berfungsi. Lihat dokumentasi untuk mempelajari selengkapnya tentang mengonfigurasi Webhook. Anda perlu membuat OneLoginBearerToken sesuai dengan persyaratan keamanan Anda dan menggunakannya di bagian Header Kustom dalam format: Otorisasi: Pembawa OneLoginBearerToken. Format Log: JSON Array.

Instruksi penginstalan vendor

Catatan

Konektor data ini menggunakan Azure Functions berdasarkan Pemicu HTTP untuk menunggu permintaan POST dengan log untuk menarik lognya ke Microsoft Sentinel. Ini dapat mengakibatkan biaya penyerapan data tambahan. Periksa halaman Harga Azure Functions untuk detailnya.

(Langkah Opsional) Simpan ruang kerja dan kunci otorisasi API atau token dengan aman di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

Catatan

Konektor data ini tergantung pada pengurai berdasarkan Fungsi Kusto untuk bekerja seperti yang diharapkan OneLogin yang disebarkan dengan Solusi Microsoft Sentinel.

LANGKAH 1 - Langkah konfigurasi untuk OneLogin

Ikuti instruksi untuk mengonfigurasi Webhook.

  1. Buat OneLoginBearerToken sesuai dengan kebijakan kata sandi Anda.
  2. Atur Header Kustom dalam format: Otorisasi: Pembawa <OneLoginBearerToken>.
  3. Gunakan Format Log Array JSON.

LANGKAH 2 - Pilih ONE dari dua opsi penyebaran berikut untuk menyebarkan konektor dan Fungsi Azure terkait

PENTING: Sebelum menyebarkan konektor data OneLogin, miliki ID Ruang Kerja dan Kunci Primer Ruang Kerja (dapat disalin dari yang berikut).

Langkah berikutnya

Untuk informasi selengkapnya, buka solusi terkait di Marketplace Azure.