Udostępnij za pośrednictwem


OneLogin IAM Platform(using Azure Functions) connector for Microsoft Sentinel

Łącznik danych OneLogin zapewnia możliwość pozyskiwania typowych zdarzeń platformy IAM OneLogin w usłudze Microsoft Sentinel za pośrednictwem elementów webhook. Interfejs API elementu webhook zdarzenia OneLogin, który jest również znany jako nadawca zdarzeń, będzie wysyłać partie zdarzeń w czasie zbliżonym do rzeczywistego do określonego punktu końcowego. Gdy w usłudze OneLogin wystąpi zmiana, żądanie HTTPS POST z informacjami o zdarzeniach jest wysyłane do adresu URL łącznika danych wywołania zwrotnego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją elementów webhook. Łącznik zapewnia możliwość pobierania zdarzeń, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, analizowanie użycia współpracy zespołu, diagnozowanie problemów z konfiguracją i nie tylko.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

atrybuty Połączenie or

atrybut Połączenie or opis
Tabele usługi Log Analytics OneLogin_CL
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Zdarzenia OneLogin — wszystkie działania.

OneLogin

| sort by TimeGenerated desc

Wymagania wstępne

Aby zintegrować aplikację OneLogin IAM Platform (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:

  • Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
  • Poświadczenia/uprawnienia elementów webhook: OneLoginBearerToken, adres URL wywołania zwrotnego jest wymagany dla działających elementów webhook. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat konfigurowania elementów webhook. Należy wygenerować element OneLoginBearerToken zgodnie z wymaganiami dotyczącymi zabezpieczeń i użyć go w sekcji Nagłówki niestandardowe w formacie: Authorization: Bearer OneLoginBearerToken. Format dzienników: tablica JSON.

Instrukcje instalacji dostawcy

Uwaga

Ten łącznik danych używa usługi Azure Functions na podstawie wyzwalacza HTTP do oczekiwania żądań POST z dziennikami w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.

(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.

Uwaga

Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami w usłudze OneLogin , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.

KROK 1 . Kroki konfiguracji dla usługi OneLogin

Postępuj zgodnie z instrukcjami , aby skonfigurować elementy webhook.

  1. Wygeneruj token OneLoginBearerToken zgodnie z zasadami haseł.
  2. Ustaw nagłówek niestandardowy w formacie: Authorization: Bearer <OneLoginBearerToken>.
  3. Użyj formatu dzienników tablicy JSON.

KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure

WAŻNE: Przed wdrożeniem łącznika danych OneLogin należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.