Microsoft Sentinel용 OneLogin IAM 플랫폼(Azure Functions 사용) 커넥터
OneLogin 데이터 커넥터는 웹후크를 통해 일반적인 OneLogin IAM 플랫폼 이벤트를 Microsoft Sentinel로 수집하는 기능을 제공합니다. Event Broadcaster라고도 알려진 OneLogin 이벤트 웹후크 API는 사용자가 지정한 엔드포인트에 거의 실시간으로 이벤트 일괄 처리를 보냅니다. OneLogin에 변경 내용이 발생하면 이벤트 정보가 포함된 HTTPS POST 요청이 콜백 데이터 커넥터 URL로 전송됩니다. 자세한 내용은 웹후크 설명서를 참조하세요. 이 커넥터는 잠재적인 보안 위험을 검사하고, 팀의 협업 사용을 분석하고, 구성 문제를 진단하는 등의 작업에 도움이 되는 이벤트를 가져올 수 있습니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | OneLogin_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Microsoft Corporation |
쿼리 샘플
OneLogin 이벤트 - 모든 작업.
OneLogin
| sort by TimeGenerated desc
필수 조건
OneLogin IAM 플랫폼(Azure Functions 사용)과 통합하려면 다음 사항을 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- 웹후크 자격 증명/권한: 웹후크를 작동하려면 OneLoginBearerToken, 콜백 URL이 필요합니다. 웹후크 구성에 대해 자세히 알아보려면 설명서를 참조하세요. 보안 요구 사항에 따라 OneLoginBearerToken을 생성하고 이를 Custom Headers 섹션에서 Authorization: Bearer OneLoginBearerToken 형식으로 사용해야 합니다. 로그 형식: JSON 배열.
공급업체 설치 지침
참고 항목
이 데이터 커넥터는 해당 로그를 Microsoft Sentinel로 가져오라는 로그가 포함된 POST 요청을 대기하기 위해 HTTP 트리거에 기반한 Azure Functions를 사용합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
참고 항목
이 데이터 커넥터는 Microsoft Sentinel 솔루션으로 배포되는 OneLogin으로 예상대로 작동하도록 Kusto 함수 기반 파서에 의존합니다.
1단계 - OneLogin 구성 단계
웹후크를 구성하려면 지침을 따릅니다.
- 암호 정책에 따라 OneLoginBearerToken 을 생성합니다.
- 사용자 지정 헤더를 Authorization: Bearer
<OneLoginBearerToken>형식으로 설정하세요. - JSON 배열 로그 형식을 사용합니다.
2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수를 배포합니다
중요: OneLogin 데이터 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키가 있어야 합니다(다음에서 복사 가능).
다음 단계
자세한 내용을 보려면 Azure Marketplace에서 관련 솔루션으로 이동합니다.