Microsoft Sentinel 用 OneLogin IAM Platform (Azure Functions を使用) コネクタ
OneLogin データ コネクタでは、Webhook を介して一般的な OneLogin IAM Platform イベントを Microsoft Sentinel に取り込む機能が提供されます。 OneLogin Event Webhook API (Event Broadcaster ともいう) では、指定されたエンドポイントにほぼリアルタイムでイベントのバッチが送信されます。 OneLogin で変更が発生すると、イベント情報を含む HTTPS POST 要求がコールバック データ コネクタ URL に送信されます。 詳細については、Webhooks ドキュメントを参照してください。 このコネクタは、潜在的なセキュリティ リスクの調査、チームによるコラボレーションの使用の分析、構成の問題の診断などに役立つイベントを取得する機能を提供します。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | OneLogin_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
OneLogin イベント - すべてのアクティビティ。
OneLogin
| sort by TimeGenerated desc
前提条件
OneLogin IAM Platform (Azure Functions を使用) と統合する場合は、次があることを確認します。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Webhooks の資格情報/アクセス許可: Webhook を動作させるには、OneLoginBearerToken、コールバック URL が必要です。 Webhook の構成の詳細に関するドキュメントを参照してください。セキュリティ要件に従って OneLoginBearerToken を生成し、カスタム ヘッダー セクションで Authorization: Bearer OneLoginBearerToken という形式で使用する必要があります。 ログ形式: JSON 配列。
ベンダーのインストール手順
注意
このデータ コネクタでは、ログを含む POST 要求を待機するために HTTP トリガーに基づく Azure Functions を使用して、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
注意
このデータ コネクタは、Kusto 関数に基づくパーサー (Microsoft Sentinel ソリューションと共にデプロイされている OneLogin) を利用して期待どおりに動作します。
手順 1 - OneLogin の構成手順
手順に従って Webhook を構成します。
- パスワード ポリシーに従って、OneLoginBearerToken を生成します。
- Authorization: Bearer
<OneLoginBearerToken>という形式でカスタム ヘッダーを設定します。 - JSON 配列ログ形式を使用します。
手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: OneLogin データ コネクタをデプロイする前に、ワークスペース ID とワークスペース主キーを用意します (以下からコピー可)。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。