OneLogin IAM Platform(using Azure Functions) connector för Microsoft Sentinel

  • Artikel

OneLogin-dataanslutningsappen ger möjlighet att mata in vanliga OneLogin IAM Platform-händelser i Microsoft Sentinel via Webhooks. OneLogin Event Webhook-API:et, som även kallas Event Broadcaster, skickar batchar med händelser nästan i realtid till en slutpunkt som du anger. När en ändring sker i OneLogin skickas en HTTPS POST-begäran med händelseinformation till en url för anslutningsappen för motringningsdata. Mer information finns i Webhooks-dokumentationen. Anslutningsappen ger möjlighet att hämta händelser som hjälper till att undersöka potentiella säkerhetsrisker, analysera ditt teams användning av samarbete, diagnostisera konfigurationsproblem med mera.

Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.

Anslut ellerattribut

Anslut ellerattribut beskrivning
Log Analytics-tabeller OneLogin_CL
Stöd för regler för datainsamling Stöds för närvarande inte
Stöds av Microsoft Corporation

Exempel på frågor

OneLogin-händelser – alla aktiviteter.

OneLogin

| sort by TimeGenerated desc

Förutsättningar

Om du vill integrera med OneLogin IAM Platform (med Hjälp av Azure Functions) kontrollerar du att du har:

  • Microsoft.Web/sites-behörigheter: Läs- och skrivbehörighet till Azure Functions för att skapa en funktionsapp krävs. Mer information om Azure Functions finns i dokumentationen.
  • Webhooks-autentiseringsuppgifter/-behörigheter: OneLoginBearerToken, Återanrops-URL krävs för att arbeta med webhooks. Mer information om hur du konfigurerar Webhooks finns i dokumentationen. Du måste generera OneLoginBearerToken enligt dina säkerhetskrav och använda det i avsnittet Anpassade rubriker i format: Authorization: Bearer OneLoginBearerToken. Loggformat: JSON-matris.

Installationsanvisningar för leverantör

Kommentar

Den här dataanslutningen använder Azure Functions baserat på HTTP-utlösare för väntande POST-begäranden med loggar för att hämta loggarna till Microsoft Sentinel. Detta kan leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

(Valfritt steg) Lagra arbetsyta och API-auktoriseringsnycklar på ett säkert sätt eller token i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

Kommentar

Den här dataanslutningsappen är beroende av en parser baserad på en Kusto-funktion för att fungera som förväntat OneLogin som distribueras med Microsoft Sentinel-lösningen.

STEG 1 – Konfigurationssteg för OneLogin

Följ anvisningarna för att konfigurera Webhooks.

  1. Generera OneLoginBearerToken enligt din lösenordsprincip.
  2. Ange anpassat huvud i formatet: Authorization: Bearer <OneLoginBearerToken>.
  3. Använd JSON-matrisloggformat.

STEG 2 – Välj ETT av följande två distributionsalternativ för att distribuera anslutningsappen och den associerade Azure-funktionen

VIKTIGT: Innan du distribuerar OneLogin-dataanslutningen måste du ha arbetsyte-ID:t och primärnyckeln för arbetsytan (kan kopieras från följande).

Nästa steg

Mer information finns i den relaterade lösningen på Azure Marketplace.