你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Microsoft Sentinel 的 OneLogin IAM Platform(使用 Azure Functions)连接器
OneLogin 数据连接器提供通过 Webhook 将常见 OneLogin IAM Platform 事件引入到 Microsoft Sentinel 的功能。 OneLogin 事件 Webhook API(也称为事件广播器)将准实时将批量事件发送到指定的终结点。 OneLogin 发生更改时,包含事件信息的 HTTPS POST 请求将被发送到回叫数据连接器 URL。 有关详细信息,请参阅 Webhook 文档。 该连接器提供获取事件的功能,这有助于检查潜在的安全风险、分析团队协作情况、诊断配置问题等。
这是自动生成的内容。 有关更改,请联系解决方案提供商。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | OneLogin_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
OneLogin 事件 - 所有活动。
OneLogin
| sort by TimeGenerated desc
先决条件
若要与 OneLogin IAM Platform(使用 Azure Functions)集成,请确保拥有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Webhook 凭据/权限:运行 Webhook 需要 OneLoginBearerToken、回叫 URL。 请参阅文档,详细了解如何配置 Webhook。需要根据安全要求生成 OneLoginBearerToken,并在“自定义标头”部分使用它,格式为:Authorization: Bearer OneLoginBearerToken。 日志格式:JSON 数组。
供应商安装说明
注意
此数据连接器使用基于 HTTP 触发器的 Azure Functions 等待带有日志的 POST 请求,以将其日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
注意
此数据连接器依赖于一个基于 Kusto 函数的分析程序,作为与 Microsoft Sentinel 解决方案一起部署的预期 OneLogin 运行。
步骤 1 - OneLogin 的配置步骤
按照说明配置 Webhook。
- 根据密码策略生成 OneLoginBearerToken。
- 按以下格式设置自定义标头:Authorization: Bearer
<OneLoginBearerToken>。 - 使用 JSON 数组日志格式。
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要说明:在部署 OneLogin 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)。
后续步骤
有关详细信息,请转到 Azure 市场中的相关解决方案。