Conector OneLogin IAM Platform (mediante Azure Functions) para Microsoft Sentinel
El conector de datos de OneLogin proporciona la capacidad de ingerir eventos de OneLogin IAM Platform comunes en Microsoft Sentinel mediante webhooks. OneLogin Event Webhook API, también conocida como Event Broadcaster, enviará lotes de eventos casi en tiempo real a un punto de conexión que especifique. Cuando se produce un cambio en OneLogin, se envía una solicitud HTTPS POST con información del evento a una dirección URL del conector de datos de devolución de llamada. Para obtener más información, consulte la documentación de webhooks. El conector permite obtener eventos que ayudan a examinar posibles riesgos de seguridad, analizar el uso de la colaboración por parte de su equipo, diagnosticar problemas de configuración y mucho más.
Este contenido se genera automáticamente. En relación con los cambios, póngase en contacto con el proveedor de soluciones.
Atributos del conector
| Atributo del conector | Descripción |
|---|---|
| Tabla de Log Analytics | OneLogin_CL |
| Compatibilidad con reglas de recopilación de datos | No se admite actualmente. |
| Compatible con | Microsoft Corporation |
Ejemplos de consultas
Eventos de OneLogin: todas las actividades.
OneLogin
| sort by TimeGenerated desc
Requisitos previos
Para realizar la integración con OneLogin IAM Platform (mediante Azure Functions), asegúrese de que tiene:
- Permisos de Microsoft.Web/sites: se requieren permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Consulte la documentación para obtener más información sobre Azure Functions.
- Credenciales o permisos de webhook: se requieren OneLoginBearerToken y una URL de devolución de llamada para trabajar con webhooks. Consulte la documentación para obtener más información sobre la configuración de webhooks. Debe generar OneLoginBearerToken según sus requisitos de seguridad y usarlo en la sección Encabezados personalizados en formato: Autorización: Portador OneLoginBearerToken. Formato de registros: matriz JSON.
Instrucciones de instalación del proveedor
Nota
Este conector de datos usa Azure Functions basado en el desencadenador HTTP para esperar las solicitudes POST con registros a fin de extraer sus registros en Microsoft Sentinel. Esto puede dar lugar a costos adicionales de ingesta de datos. Consulte la página de precios de Azure Functions para obtener más información.
(Paso opcional) Almacene de manera segura las claves o tokens de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.
Nota
Este conector de datos depende de un analizador basado en una función de Kusto para que funcione según lo previsto en OneLogin, que se implementa con la solución de Microsoft Sentinel.
PASO 1: Pasos de configuración para OneLogin
Siga las instrucciones para configurar webhooks.
- Genere OneLoginBearerToken según la directiva de contraseñas.
- Establezca el encabezado personalizado en el formato Authorization: Bearer
<OneLoginBearerToken>. - Use una matriz JSON como formato de registros.
PASO 2: Elija UNA de las dos opciones de implementación siguientes para implementar el conector y la función de Azure asociada
IMPORTANTE: Antes de implementar el conector de datos de OneLogin, disponga del identificador y la clave principal del área de trabajo (se pueden copiar con las indicaciones siguientes).
Pasos siguientes
Para obtener más información, vaya a la solución relacionada en Azure Marketplace.