Conector da Plataforma OneLogin IAM (usando o Azure Functions) para Microsoft Sentinel
O conector de dados OneLogin oferece a capacidade de ingerir eventos OneLogin IAM Platform comuns no Microsoft Sentinel por meio de Webhooks. A API de Webhook de Eventos do OneLogin, também conhecida como Emissora de Eventos, enviará lotes de eventos quase em tempo real para um ponto de extremidade especificado. Quando ocorre uma alteração no OneLogin, uma solicitação HTTPS POST com informações de evento é enviada para uma URL do conector de dados de retorno de chamada. Consulte a documentação do Webhooks para obter mais informações. O conector fornece a capacidade de obter eventos que ajudam a examinar riscos de segurança em potencial, analisar o uso colaboração pela sua equipe, diagnosticar problemas de configuração e muito mais.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | OneLogin_CL |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Eventos do OneLogin – Todas as atividades.
OneLogin
| sort by TimeGenerated desc
Pré-requisitos
Para fazer a integração com a Plataforma de IAM OneLogin (usando o Azure Functions), certifique-se de que você tenha:
- Permissões Microsoft.Web/sites : são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Confira a documentação para saber mais sobre o Azure Functions.
- Credenciais/permissões de webhooks: OneLoginBearerToken, URL de retorno de chamada são necessários para trabalhar webhooks. Confira a documentação para saber mais sobre como configurar webhooks. Você precisa gerar OneLoginBearerToken de acordo com seus requisitos de segurança e usá-lo na seção Cabeçalhos personalizados no formato: Autorização: Portador OneLoginBearerToken. Formato de logs: Matriz JSON.
Instruções de instalação do fornecedor
Observação
Esse conector de dados usa o Azure Functions com base no Gatilho HTTP para aguardar solicitações POST com logs para efetuar pull de seus logs no Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.
(Etapa opcional): armazene o espaço de trabalho e as chaves de autorização ou tokens da API com segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.
Observação
Esse conector de dados depende de um analisador baseado em uma Função do Kusto para funcionar conforme o esperado, o OneLogin, que é implantado com a Solução do Microsoft Sentinel.
ETAPA 1 – Etapas de configuração do OneLogin
Siga as instruções para configurar o Webhooks.
- Gere o OneLoginBearerToken de acordo com sua política de senha.
- Configure um Cabeçalho Personalizado no formato: Autorização: Portador do OneLoginBearerToken.
- Use o Formato de Logs de Matriz JSON.
ETAPA 2 – Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada
IMPORTANTE: antes de implantar o conector de dados de OneLogin, tenha a ID do Espaço de Trabalho e a Chave Primária de Espaço de Trabalho (pode ser copiada a partir do seguinte).
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.