適用於 Microsoft Sentinel 的 OneLogin IAM Platform(使用 Azure Functions) 連接器
OneLogin 資料連接器提供透過 Webhook 將常見的 OneLogin IAM 平臺事件內嵌至 Microsoft Sentinel 的功能。 OneLogin 事件 Webhook API,也稱為「事件廣播」,會以近乎即時的方式將事件批次傳送至您指定的端點。 當 OneLogin 發生變更時,具有事件資訊的 HTTPS POST 要求會傳送至回呼數據連接器 URL。 如需詳細資訊,請參閱 Webhook 檔。 連接器可讓您取得事件,以協助檢查潛在的安全性風險、分析小組的共同作業使用、診斷設定問題等等。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連線 or 屬性
| 連線 or 屬性 | 描述 |
|---|---|
| Log Analytics 數據表(s) | OneLogin_CL |
| 數據收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
OneLogin 事件 - 所有活動。
OneLogin
| sort by TimeGenerated desc
必要條件
若要與 OneLogin IAM 平臺整合(使用 Azure Functions),請確定您有:
- Microsoft.Web/sites 許可權:需要 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 請參閱檔以深入瞭解 Azure Functions。
- Webhook 認證/許可權: 工作 Webhook 需要 OneLoginBearerToken 回 呼 URL 。 請參閱檔以深入瞭解 如何設定 Webhook。您必須根據您的安全性需求產生 OneLoginBearerToken ,並以下列格式在 自定義標頭 區段中使用它:Authorization:Bearer OneLoginBearerToken。 記錄格式:JSON 陣列。
廠商安裝指示
注意
此數據連接器會根據 HTTP 觸發程式使用 Azure Functions,以等候具有記錄的 POST 要求,將其記錄提取至 Microsoft Sentinel。 這可能會導致額外的數據擷取成本。 如需詳細資訊, 請參閱 Azure Functions 定價頁面 。
(選擇性步驟)在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權密鑰或令牌。 Azure 金鑰保存庫 提供安全機制來儲存和擷取密鑰值。 請遵循這些指示,搭配 Azure 函式應用程式使用 Azure 金鑰保存庫。
注意
此數據連接器取決於以 Kusto 函式為基礎的剖析器,以如預期 般運作 OneLogin,而 OneLogin 是使用 Microsoft Sentinel 解決方案所部署。
步驟 1 - OneLogin 的設定步驟
請遵循指示來設定 Webhook。
- 根據您的密碼原則產生 OneLoginBearerToken 。
- 以下列格式設定自定義標頭:授權:持有人
<OneLoginBearerToken>。 - 使用 JSON 陣列記錄格式。
步驟 2 - 從下列兩個部署選項中選擇一個,以部署連接器和相關聯的 Azure 函式
重要事項: 部署 OneLogin 數據連接器之前,請具有工作區標識碼和工作區主鍵(可從下列內容複製)。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 。