Conector OneLogin IAM Platform(usando Azure Functions) para Microsoft Sentinel

O conector de dados OneLogin fornece a capacidade de ingerir eventos comuns da plataforma OneLogin IAM no Microsoft Sentinel por meio de Webhooks. A API OneLogin Event Webhook, que também é conhecida como Event Broadcaster, enviará lotes de eventos quase em tempo real para um ponto de extremidade que você especificar. Quando ocorre uma alteração no OneLogin, uma solicitação HTTPS POST com informações de evento é enviada para uma URL de conector de dados de retorno de chamada. Consulte a documentação do Webhooks para obter mais informações. O conector fornece a capacidade de obter eventos que ajudam a examinar potenciais riscos de segurança, analisar o uso de colaboração da sua equipe, diagnosticar problemas de configuração e muito mais.

Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.

Atributos do conector

Atributo do conector Description
Tabela(s) do Log Analytics OneLogin_CL
Suporte a regras de coleta de dados Não é suportado atualmente
Apoiado por Corporação Microsoft

Exemplos de consulta

Eventos OneLogin - Todas as Atividades.

OneLogin

| sort by TimeGenerated desc

Pré-requisitos

Para integrar com a plataforma OneLogin IAM (usando o Azure Functions), certifique-se de ter:

  • Permissões Microsoft.Web/sites: são necessárias permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Consulte a documentação para saber mais sobre o Azure Functions.
  • Credenciais/permissões de Webhooks: OneLoginBearerToken, URL de retorno de chamada são necessários para Webhooks de trabalho. Consulte a documentação para saber mais sobre como configurar Webhooks. Você precisa gerar OneLoginBearerToken de acordo com seus requisitos de segurança e usá-lo na seção Cabeçalhos personalizados no formato: Autorização: Portador OneLoginBearerToken. Formato de logs: Matriz JSON.

Instruções de instalação do fornecedor

Nota

Esse conector de dados usa o Azure Functions com base no Gatilho HTTP para aguardar solicitações POST com logs para extrair seus logs para o Microsoft Sentinel. Isso pode resultar em custos adicionais de ingestão de dados. Consulte a página de preços do Azure Functions para obter detalhes.

(Etapa opcional) Armazene com segurança a(s) chave(s) de autorização do espaço de trabalho e da API ou código(s) no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.

Nota

Este conector de dados depende de um analisador baseado em uma função Kusto para funcionar como esperado OneLogin que é implantado com a solução Microsoft Sentinel.

PASSO 1 - Passos de configuração para o OneLogin

Siga as instruções para configurar Webhooks.

  1. Gere o OneLoginBearerToken de acordo com sua política de senha.
  2. Defina o cabeçalho personalizado no formato: Autorização: Portador <OneLoginBearerToken>.
  3. Use o formato JSON Array Logs.

ETAPA 2 - Escolha UMA das duas opções de implantação a seguir para implantar o conector e a Função do Azure associada

IMPORTANTE: Antes de implantar o conector de dados OneLogin, tenha a ID do Espaço de Trabalho e a Chave Primária do Espaço de Trabalho (pode ser copiada do seguinte).

Próximos passos

Para obter mais informações, vá para a solução relacionada no Azure Marketplace.