Соединитель OneLogin IAM Platform(using Функции Azure) для Microsoft Sentinel
Соединитель данных OneLogin предоставляет возможность приема распространенных событий платформы OneLogin IAM в Microsoft Sentinel через веб-перехватчики. API веб-перехватчика событий OneLogin, который также называется вещателем событий, будет отправлять пакеты событий практически в режиме реального времени в указанную конечную точку. При изменении в OneLogin запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам. Соединитель предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | OneLogin_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
События OneLogin — все действия.
OneLogin
| sort by TimeGenerated desc
Необходимые компоненты
Чтобы интегрироваться с OneLogin IAM Platform(using Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Учетные данные и разрешения веб-перехватчиков: OneLoginBearerToken, URL-адрес обратного вызова необходим для работы веб-перехватчиков. Дополнительные сведения о настройке веб-перехватчиков см. в документации. Необходимо создать OneLoginBearerToken в соответствии с вашими требованиями к безопасности и использовать его в разделе "Пользовательские заголовки " в формате: Authorization: Bearer OneLoginBearerToken. Формат журналов: массив JSON.
Инструкции по установке поставщика
Примечание.
Этот соединитель данных использует Функции Azure на основе триггера HTTP для ожидания запросов POST с журналами для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Примечание.
Этот соединитель данных зависит от средства синтаксического анализа на основе функции Kusto для работы, как ожидалось , OneLogin , развернутой с помощью решения Microsoft Sentinel.
ШАГ 1. Действия по настройке для OneLogin
Следуйте инструкциям по настройке веб-перехватчиков.
- Создайте OneLoginBearerToken в соответствии с политикой паролей.
- Задайте пользовательский заголовок в формате: авторизация: носитель
<OneLoginBearerToken>. - Используйте формат журналов массива JSON.
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Перед развертыванием соединителя данных OneLogin укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего раздела).
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.