OneLogin IAM Platform(using Funzioni di Azure) connector for Microsoft Sentinel

  • Articolo

Il connettore dati OneLogin offre la possibilità di inserire eventi comuni della piattaforma IAM OneLogin in Microsoft Sentinel tramite webhook. L'API webhook dell'evento OneLogin, nota anche come emittente dell'evento, invierà batch di eventi quasi in tempo reale a un endpoint specificato. Quando si verifica una modifica in OneLogin, viene inviata una richiesta HTTPS POST con informazioni sugli eventi a un URL del connettore dati di callback. Per altre informazioni, vedere la documentazione dei webhook. Il connettore consente di ottenere eventi che consentono di esaminare i potenziali rischi per la sicurezza, analizzare l'uso della collaborazione del team, diagnosticare i problemi di configurazione e altro ancora.

Si tratta di contenuto generato automaticamente. Per le modifiche, contattare il provider di soluzioni.

attributi Connessione or

Attributo Connessione or Descrizione
Tabelle di Log Analytics OneLogin_CL
Supporto delle regole di raccolta dati Non è al momento supportato
Supportata da: Microsoft Corporation

Esempi di query

Eventi OneLogin : tutte le attività.

OneLogin

| sort by TimeGenerated desc

Prerequisiti

Per eseguire l'integrazione con OneLogin IAM Platform (usando Funzioni di Azure) assicurarsi di avere:

  • Autorizzazioni Microsoft.Web/sites: sono necessarie autorizzazioni di lettura e scrittura per Funzioni di Azure per creare un'app per le funzioni. Per altre informazioni sulle Funzioni di Azure, vedere la documentazione.
  • Credenziali/autorizzazioni dei webhook: OneLoginBearerToken, l'URL di callback è necessario per i webhook funzionanti. Per altre informazioni sulla configurazione dei webhook, vedere la documentazione. È necessario generare OneLoginBearerToken in base ai requisiti di sicurezza e usarlo nella sezione Intestazioni personalizzate nel formato: Autorizzazione: Bearer OneLoginBearerToken. Formato log: matrice JSON.

Istruzioni di installazione fornitore

Nota

Questo connettore dati usa Funzioni di Azure basato sul trigger HTTP per attendere le richieste POST con i log per eseguire il pull dei log in Microsoft Sentinel. Ciò potrebbe comportare costi aggiuntivi per l'inserimento dei dati. Per informazioni dettagliate, vedere la pagina dei prezzi Funzioni di Azure.

(Passaggio facoltativo) Archiviare in modo sicuro le chiavi o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

Nota

Questo connettore dati dipende da un parser basato su una funzione Kusto per funzionare come previsto OneLogin che viene distribuito con la soluzione Microsoft Sentinel.

PASSAGGIO 1 - Passaggi di configurazione per OneLogin

Seguire le istruzioni per configurare i webhook.

  1. Generare OneLoginBearerToken in base ai criteri password.
  2. Impostare l'intestazione personalizzata nel formato Autorizzazione: Bearer <OneLoginBearerToken>.
  3. Usare il formato dei log delle matrici JSON.

PASSAGGIO 2: scegliere UNA delle due opzioni di distribuzione seguenti per distribuire il connettore e la funzione di Azure associata

IMPORTANTE: prima di distribuire il connettore dati OneLogin, disporre dell'ID area di lavoro e della chiave primaria dell'area di lavoro (può essere copiato da quanto segue).

Passaggi successivi

Per altre informazioni, vedere la soluzione correlata in Azure Marketplace.