OneLogin IAM Platform-connector (met behulp van Azure Functions) voor Microsoft Sentinel
De OneLogin-gegevensconnector biedt de mogelijkheid om algemene OneLogin IAM Platform-gebeurtenissen op te nemen in Microsoft Sentinel via Webhooks. De OneLogin Event Webhook-API, ook wel bekend als event broadcaster, verzendt in bijna realtime batches gebeurtenissen naar een eindpunt dat u opgeeft. Wanneer er een wijziging optreedt in OneLogin, wordt een HTTPS POST-aanvraag met gebeurtenisgegevens verzonden naar de URL van een callbackgegevensconnector. Raadpleeg de documentatie voor Webhooks voor meer informatie. De connector biedt mogelijkheden om gebeurtenissen te verkrijgen die helpen bij het onderzoeken van mogelijke beveiligingsrisico's, het gebruik van samenwerking analyseren, configuratieproblemen diagnosticeren en meer.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Verbinding maken orkenmerken
| Verbinding maken orkenmerk | Beschrijving |
|---|---|
| Log Analytics-tabellen | OneLogin_CL |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
OneLogin-gebeurtenissen - alle activiteiten.
OneLogin
| sort by TimeGenerated desc
Vereisten
Als u wilt integreren met OneLogin IAM Platform (met behulp van Azure Functions), moet u het volgende doen:
- Machtigingen voor Microsoft.Web/sites: Lees- en schrijfmachtigingen voor Azure Functions om een functie-app te maken is vereist. Raadpleeg de documentatie voor meer informatie over Azure Functions.
- Webhooks-referenties/machtigingen: OneLoginBearerToken, callback-URL zijn vereist voor werkende webhooks. Zie de documentatie voor meer informatie over het configureren van Webhooks. U moet OneLoginBearerToken genereren op basis van uw beveiligingsvereisten en deze gebruiken in de sectie Aangepaste headers in indeling: Autorisatie: Bearer OneLoginBearerToken. Logboekindeling: JSON-matrix.
Installatie-instructies van leverancier
Notitie
Deze gegevensconnector maakt gebruik van Azure Functions op basis van HTTP-trigger voor het wachten op POST-aanvragen met logboeken om de logboeken in Microsoft Sentinel op te halen. Dit kan leiden tot extra kosten voor gegevensopname. Raadpleeg de pagina met prijzen van Azure Functions voor meer informatie.
(Optionele stap) Sla werkruimte en API-autorisatiesleutel(s) of token(s) veilig op in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.
Notitie
Deze gegevensconnector is afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht OneLogin , dat is geïmplementeerd met de Microsoft Sentinel-oplossing.
STAP 1: configuratiestappen voor OneLogin
Volg de instructies voor het configureren van webhooks.
- Genereer het OneLoginBearerToken volgens uw wachtwoordbeleid.
- Aangepaste header instellen in de indeling: Autorisatie: Bearer
<OneLoginBearerToken>. - Gebruik de indeling van JSON-matrixlogboeken.
STAP 2: Kies EEN van de volgende twee implementatieopties om de connector en de bijbehorende Azure-functie te implementeren
BELANGRIJK: Voordat u de OneLogin-gegevensconnector implementeert, moet u de werkruimte-id en primaire sleutel van de werkruimte hebben (u kunt de volgende gegevens kopiëren).
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.