OneLogin IAM Platform(using Azure Functions) connector for Microsoft Sentinel
Łącznik danych OneLogin zapewnia możliwość pozyskiwania typowych zdarzeń platformy IAM OneLogin w usłudze Microsoft Sentinel za pośrednictwem elementów webhook. Interfejs API elementu webhook zdarzenia OneLogin, który jest również znany jako nadawca zdarzeń, będzie wysyłać partie zdarzeń w czasie zbliżonym do rzeczywistego do określonego punktu końcowego. Gdy w usłudze OneLogin wystąpi zmiana, żądanie HTTPS POST z informacjami o zdarzeniach jest wysyłane do adresu URL łącznika danych wywołania zwrotnego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją elementów webhook. Łącznik zapewnia możliwość pobierania zdarzeń, które ułatwiają analizowanie potencjalnych zagrożeń bezpieczeństwa, analizowanie użycia współpracy zespołu, diagnozowanie problemów z konfiguracją i nie tylko.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
atrybuty Połączenie or
| atrybut Połączenie or | opis |
|---|---|
| Tabele usługi Log Analytics | OneLogin_CL |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Zdarzenia OneLogin — wszystkie działania.
OneLogin
| sort by TimeGenerated desc
Wymagania wstępne
Aby zintegrować aplikację OneLogin IAM Platform (przy użyciu usługi Azure Functions), upewnij się, że masz następujące elementy:
- Uprawnienia Microsoft.Web/sites: wymagane są uprawnienia do odczytu i zapisu w usłudze Azure Functions w celu utworzenia aplikacji funkcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o usłudze Azure Functions.
- Poświadczenia/uprawnienia elementów webhook: OneLoginBearerToken, adres URL wywołania zwrotnego jest wymagany dla działających elementów webhook. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat konfigurowania elementów webhook. Należy wygenerować element OneLoginBearerToken zgodnie z wymaganiami dotyczącymi zabezpieczeń i użyć go w sekcji Nagłówki niestandardowe w formacie: Authorization: Bearer OneLoginBearerToken. Format dzienników: tablica JSON.
Instrukcje instalacji dostawcy
Uwaga
Ten łącznik danych używa usługi Azure Functions na podstawie wyzwalacza HTTP do oczekiwania żądań POST z dziennikami w celu ściągnięcia dzienników do usługi Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać szczegółowe informacje, zobacz stronę cennika usługi Azure Functions.
(Krok opcjonalny) Bezpiecznie przechowuj obszary robocze i klucze autoryzacji interfejsu API lub tokeny w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Uwaga
Ten łącznik danych zależy od analizatora opartego na funkcji Kusto działającej zgodnie z oczekiwaniami w usłudze OneLogin , która jest wdrażana przy użyciu rozwiązania Microsoft Sentinel.
KROK 1 . Kroki konfiguracji dla usługi OneLogin
Postępuj zgodnie z instrukcjami , aby skonfigurować elementy webhook.
- Wygeneruj token OneLoginBearerToken zgodnie z zasadami haseł.
- Ustaw nagłówek niestandardowy w formacie: Authorization: Bearer
<OneLoginBearerToken>. - Użyj formatu dzienników tablicy JSON.
KROK 2. Wybierz jedną z następujących dwóch opcji wdrażania, aby wdrożyć łącznik i skojarzoną funkcję platformy Azure
WAŻNE: Przed wdrożeniem łącznika danych OneLogin należy mieć identyfikator obszaru roboczego i klucz podstawowy obszaru roboczego (można go skopiować z następujących elementów).
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.