Konektor OneLogin IAM Platform (pomocí Azure Functions) pro Microsoft Sentinel
Datový konektor OneLogin poskytuje možnost ingestovat běžné události platformy IAM OneLogin do Služby Microsoft Sentinel prostřednictvím webhooků. Rozhraní API Webhooku události OneLogin, které se také označuje jako vysílání událostí, bude odesílat dávky událostí téměř v reálném čase do zadaného koncového bodu. Když dojde ke změně v OneLoginu, odešle se požadavek HTTPS POST s informacemi o události na adresu URL datového konektoru zpětného volání. Další informace najdete v dokumentaci k webhookům. Konektor poskytuje možnost získat události, které pomáhají zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
atributy Připojení oru
| atribut Připojení or | Popis |
|---|---|
| Tabulky Log Analytics | OneLogin_CL |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Události OneLogin – všechny aktivity.
OneLogin
| sort by TimeGenerated desc
Požadavky
Pokud chcete provést integraci s platformou IAM OneLogin (pomocí Azure Functions), ujistěte se, že máte:
- Oprávnění Microsoft.Web/sites: Vyžaduje se oprávnění ke čtení a zápisu do Azure Functions k vytvoření aplikace funkcí. Další informace o službě Azure Functions najdete v dokumentaci.
- Přihlašovací údaje a oprávnění webhooků: OneLoginBearerToken, adresa URL zpětného volání se vyžaduje pro funkční webhooky. Další informace o konfiguraci webhooků najdete v dokumentaci. Potřebujete vygenerovat OneLoginBearerToken podle vašich požadavků na zabezpečení a použít ho ve formátu: Authorization: Bearer OneLoginBearerToken. Formát protokolů: Pole JSON.
Pokyny k instalaci dodavatele
Poznámka:
Tento datový konektor používá Azure Functions na základě triggeru HTTP pro čekání požadavků POST s protokoly k načtení protokolů do Microsoft Sentinelu. To může vést k dalším nákladům na příjem dat. Podrobnosti najdete na stránce s cenami služby Azure Functions.
(Volitelný krok) Bezpečně ukládejte pracovní prostor a autorizační klíče rozhraní API nebo tokeny ve službě Azure Key Vault. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.
Poznámka:
Tento datový konektor závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání OneLoginu nasazeného s řešením Microsoft Sentinel.
KROK 1 : Kroky konfigurace pro OneLogin
Podle pokynů nakonfigurujte webhooky.
- Vygenerujte OneLoginBearerToken podle zásad hesel.
- Nastavit vlastní hlavičku ve formátu: Autorizace: Nosný
<OneLoginBearerToken>. - Použijte formát protokolů pole JSON.
KROK 2: V následujících dvou možnostech nasazení vyberte jednu z následujících dvou možností nasazení pro nasazení konektoru a přidružené funkce Azure Functions.
DŮLEŽITÉ: Před nasazením datového konektoru OneLogin zadejte ID pracovního prostoru a primární klíč pracovního prostoru (můžete ho zkopírovat z následujícího kódu).
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.