Microsoft Sentinel için OneLogin IAM Platformu (Azure İşlevleri kullanarak) bağlayıcısı

  • Makale

OneLogin veri bağlayıcısı, yaygın OneLogin IAM Platformu olaylarını Web Kancaları aracılığıyla Microsoft Sentinel'e alma özelliği sağlar. Olay Yayıncısı olarak da bilinen OneLogin Olay Web Kancası API'si, belirttiğiniz bir uç noktaya neredeyse gerçek zamanlı olarak toplu olaylar gönderir. OneLogin'de bir değişiklik gerçekleştiğinde, bir geri çağırma veri bağlayıcısı URL'sine olay bilgilerini içeren bir HTTPS POST isteği gönderilir. Daha fazla bilgi için Web kancaları belgelerine bakın . Bağlayıcı, olası güvenlik risklerini incelemeye, ekibinizin işbirliği kullanımını analiz etmeye, yapılandırma sorunlarını tanılamaya ve daha fazlasına yardımcı olan olayları alma olanağı sağlar.

Bağlan or öznitelikleri

Bağlan or özniteliği Tanım
Log Analytics tabloları OneLogin_CL
Veri toplama kuralları desteği Şu anda desteklenmiyor
Destekleyen: Microsoft Corporation

Sorgu örnekleri

OneLogin Olayları - Tüm Etkinlikler.

OneLogin

| sort by TimeGenerated desc

Ön koşullar

OneLogin IAM Platformu ile tümleştirmek için (Azure İşlevleri kullanarak) aşağıdakilere sahip olduğunuzdan emin olun:

  • Microsoft.Web/sites izinleri: İşlev Uygulaması oluşturmak için Azure İşlevleri okuma ve yazma izinleri gereklidir. Azure İşlevleri hakkında daha fazla bilgi edinmek için belgelere bakın.
  • Web Kancaları Kimlik Bilgileri/izinleri: OneLoginBearerToken, Geri Arama URL'si , çalışan Web kancaları için gereklidir. Web kancalarını yapılandırma hakkında daha fazla bilgi edinmek için belgelere bakın. Güvenlik gereksinimlerinize göre OneLoginBearerToken oluşturmanız ve özel üst bilgiler bölümünde şu biçimde kullanmanız gerekir: Yetkilendirme: Taşıyıcı OneLoginBearerToken. Günlük Biçimi: JSON Dizisi.

Satıcı yükleme yönergeleri

Dekont

Bu veri bağlayıcısı, günlüklerini Microsoft Sentinel'e çekmek üzere günlükleri olan POST isteklerini beklemek için HTTP Tetikleyicisi temelinde Azure İşlevleri kullanır. Bu ek veri alımı maliyetlerine neden olabilir. Ayrıntılar için Azure İşlevleri fiyatlandırma sayfasına bakın.

(İsteğe Bağlı Adım) Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayın. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.

Dekont

Bu veri bağlayıcısı, Microsoft Sentinel Çözümü ile dağıtılan beklenen OneLogin'in çalışması için Kusto İşlevini temel alan bir ayrıştırıcıya bağlıdır.

ADIM 1 - OneLogin için yapılandırma adımları

Web Kancalarını yapılandırmak için yönergeleri izleyin.

  1. Parola ilkenize göre OneLoginBearerToken oluşturun.
  2. Özel Üst Bilgi'yi şu biçimde ayarlayın: Yetkilendirme: Taşıyıcı OneLoginBearerToken.
  3. JSON Dizi Günlükleri Biçimini kullanın.

ADIM 2 - Bağlayıcıyı ve ilişkili Azure İşlevini dağıtmak için aşağıdaki iki dağıtım seçeneğinden birini seçin

ÖNEMLİ: OneLogin veri bağlayıcısını dağıtmadan önce Çalışma Alanı Kimliği ve Çalışma Alanı Birincil Anahtarı'na sahip olun (aşağıdakilerden kopyalanabilir).

Sonraki adımlar

Daha fazla bilgi için Azure Market ilgili çözüme gidin.