# OneLogin 로그
## 개요
Panther는 다음을 통해 OneLogin 로그 수집을 지원합니다 [OneLogin의 통합 기능과](https://www.onelogin.com/blog/aws-eventbridge-integration) Amazon EventBridge. 이를 통해 Panther는 OneLogin 로그를 확장 가능하고 안정적이며 지연 시간이 짧은 방식으로 처리할 수 있습니다.
Panther가 OneLogin 로그를 처리하려면, OneLogin 계정이 Panther의 Amazon Web Services(AWS) 계정에 있는 Amazon EventBridge로 데이터를 전송하도록 구성해야 합니다.
## OneLogin 로그를 Panther에 온보딩하는 방법
### Panther로 데이터를 보내도록 OneLogin 구성
{% hint style="info" %}
참고: Panther 인스턴스가 배포된 AWS 계정 ID와 AWS 리전을 기록해 두세요. 이 정보는 Panther Console의 **설정** > **일반** 페이지 하단에서 찾을 수 있습니다.
{% endhint %}
1. OneLogin 관리 콘솔에서 다음으로 이동합니다. **Developers** > **Webhooks.**
2. 다음으로 이동하세요 **New Webhook** > **Amazon EventBridge용 이벤트 Webhook.**
3. 설명적인 이름을 추가합니다. 예: `Panther Integration`
4. 앞서 적어 둔 AWS 계정 ID와 리전을 입력한 다음 **Save를 클릭합니다.**
5. 방금 생성한 새 통합을 클릭합니다. 다음 항목을 기록해 두세요. **Event Source** 필드는 다음 단계에서 사용됩니다.
* 형식은 다음과 같아야 합니다 `aws.partner/onelogin.com/US-123456/ffffffffff.`
### Panther에 새 OneLogin 소스 생성
1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그** **소스**.
2. 을 클릭한 다음 **새로 만들기 를 클릭합니다.**
3. “OneLogin”을 검색한 다음 해당 타일을 클릭합니다.
4. 을 클릭한 다음 **설정 시작**.
5. 다음 **Configure Source** 페이지에서 다음 필드를 채웁니다:
* **이름**: 소스에 대한 설명적인 이름. 예: `내 OneLogin 이벤트`
* **로그 유형**: 다음을 선택합니다 `OneLogin.Events`
* **Bus Name**: 이전 텍스트에서 기록한 필드(형식 `aws.partner/onelogin.com/US-123456/ffffffffff`)
6. 을 클릭한 다음 **설정**. 성공 화면으로 이동합니다:\\
* 선택적으로 하나 이상의 [디택션 Packs](https://docs.panther.com/detections/panther-managed/packs).
* 그 **이벤트가 처리되지 않을 때 알러트 트리거** 설정의 기본값은 **예**. 이 옵션은 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지나 로그 소스에서 데이터가 더 이상 유입되지 않으면 알림을 받게 되기 때문입니다. 기간은 구성할 수 있으며 기본값은 24시간입니다.\\
## Panther에서 관리하는 탐지 규칙
참조하세요 [Panther에서 관리하는](https://docs.panther.com/detections/panther-managed) OneLogin의 규칙은 [panther-analysis GitHub 저장소에 있습니다](https://github.com/panther-labs/panther-analysis/tree/master/rules/onelogin_rules).
## 지원되는 로그 유형
### OneLogin.Events
OneLogin은 조직을 위한 싱글 사인온과 ID 관리를 제공합니다.
자세한 내용은 [이벤트 및 리소스 유형에 대한 OneLogin 문서.](https://developers.onelogin.com/api-docs/1/events/event-resource)
```yaml
schema: OneLogin.Events
description: OneLogin은 조직을 위한 싱글 사인온과 ID 관리를 제공합니다
referenceURL: https://developers.onelogin.com/api-docs/1/events/event-resource
fields:
- name: uuid
required: true
description: OneLogin이 생성한 이 메시지의 범용 고유 식별자입니다.
type: string
- 이름: account_id
required: true
description: 이벤트를 트리거한 계정입니다.
type: string
- name: event_timestamp
required: true
description: 이벤트가 생성된 시간과 날짜입니다. 이 값은 OneLogin에 의해 자동 생성됩니다.
type: timestamp
timeFormats:
- '%Y-%m-%d %H:%M:%S %Z'
isEventTime: true
- name: error_description
description: 해당되는 경우 프로비저닝 오류 세부 정보입니다.
type: string
- name: login_name
description: 로그인 사용자의 이름
type: string
- 이름: app_name
description: 해당되는 경우 이벤트와 관련된 앱의 이름입니다.
type: string
- name: authentication_factor_description
description: 사용된 인증 요소에 대한 자세한 정보입니다.
type: string
- name: certificate_name
description: 요청에 포함된 인증서의 이름입니다.
type: string
- name: certificate_id
description: 요청에 포함된 인증서의 ID입니다.
type: string
- name: assumed_by_superadmin_or_reseller
description: 작업이 슈퍼관리자 또는 리셀러에 의해 수행되었음을 나타냅니다.
type: bigint
- 이름: directory_name
description: 디렉터리 이름입니다.
type: string
- name: actor_user_id
description: 이벤트를 트리거한 작업의 주체인 사용자의 ID입니다.
type: string
indicators:
- actor_id
- name: user_name
description: 이벤트를 트리거하기 위해 작업 대상이 된 사용자의 이름입니다.
type: string
indicators:
- username
- name: mapping_id
description: 작업에 포함된 매핑의 ID입니다.
type: string
- name: radius_config_id
description: 작업에 포함된 Radius 구성의 ID입니다.
type: string
- name: risk_score
description: 이 숫자가 높을수록 위험도도 높습니다.
type: float
- name: otp_device_id
description: 이벤트와 관련된 장치의 ID입니다.
type: string
- name: imported_user_id
description: 가져온 사용자의 ID입니다.
type: string
indicators:
- actor_id
- name: resolution
description: 해결 결과입니다.
type: string
- 이름: directory_id
description: 디렉터리 ID입니다.
type: string
- name: authentication_factor_id
description: 사용된 인증 요소의 ID입니다.
type: string
- name: risk_cookie_id
description: 위험 쿠키의 ID입니다.
type: string
- name: app_id
description: 해당되는 경우 이벤트와 관련된 앱의 ID입니다.
type: string
- name: custom_message
description: 이벤트에 대한 자세한 정보입니다.
type: string
- name: browser_fingerprint
description: 브라우저의 핑거프린트입니다.
type: string
- name: otp_device_name
description: 이벤트와 관련된 장치의 이름입니다.
type: string
- name: actor_user_name
description: 이벤트를 트리거한 작업의 주체인 사용자의 이름과 성입니다.
type: string
indicators:
- username
- name: actor_system
description: 행위자가 사용자가 아닐 때 이벤트를 트리거한 작업 시스템입니다.
type: string
- name: user_field_name
description: 사용자 지정 사용자 필드의 이름입니다.
type: string
- name: user_field_id
description: 사용자 지정 사용자 필드의 ID입니다.
type: string
- name: assuming_acting_user_id
description: 해당되는 경우, 작업 중인 사용자의 역할을 대신하여 이벤트를 트리거한 사용자의 ID입니다.
type: string
- name: api_credential_name
description: 사용된 API 자격 증명의 이름입니다.
type: string
- name: imported_user_name
description: 가져온 사용자의 이름입니다.
type: string
indicators:
- username
- name: note_title
description: 메모의 제목입니다.
type: string
- name: trusted_idp_name
description: 신뢰할 수 있는 IDP의 이름입니다.
type: string
- name: policy_id
description: 이벤트와 관련된 정책의 ID입니다.
type: string
- name: role_name
description: 이벤트와 관련된 역할의 이름입니다.
type: string
- name: resolved_by_user_id
description: 문제를 해결한 사용자의 ID입니다.
type: string
- name: group_id
description: 이벤트와 관련된 그룹의 ID입니다.
type: string
- name: client_id
description: 이벤트를 생성한 API 호출을 수행한 액세스 토큰을 생성하는 데 사용된 클라이언트 ID입니다.
type: string
- name: ipaddr
description: 이벤트를 트리거하는 데 사용된 머신의 IP 주소입니다.
type: string
indicators:
- ip
- name: notes
description: 이벤트에 대한 자세한 정보입니다.
type: string
- name: event_type_id
required: true
description: 트리거된 이벤트 유형입니다.
type: string
- 이름: user_id
description: 이벤트를 트리거하기 위해 작업 대상이 된 사용자의 ID입니다.
type: string
indicators:
- actor_id
- name: risk_reasons
description: 이는 위험 점수의 사유를 모두 열거한 포괄적인 목록이 아니며 참고용으로만 사용해야 합니다
type: string
- name: proxy_agent_name
description: 프록시 에이전트의 이름입니다.
type: string
- name: policy_type
description: 정책의 유형입니다.
type: string
- name: role_id
description: 이벤트와 관련된 역할의 ID입니다.
type: string
- 이름: user_agent
description: 요청이 호출된 사용자 에이전트입니다
type: string
- name: privilege_name
description: 권한의 이름입니다.
type: string
- name: group_name
description: 이벤트와 관련된 그룹의 이름입니다.
type: string
- name: entity
description: 이 요청과 관련된 엔터티입니다.
type: string
- name: resource_type_id
description: 이벤트와 연결된 리소스(사용자, 역할, 그룹 등)의 ID입니다.
type: string
- name: mapping_name
description: 매핑의 이름입니다.
type: string
- name: task_name
description: 작업의 이름입니다.
type: string
- name: authentication_factor_type
description: 인증 유형의 유형입니다.
type: string
- name: radius_config_name
description: 사용된 Radius 구성의 이름입니다.
type: string
- name: policy_name
description: 이벤트와 관련된 정책의 이름입니다.
type: string
- name: privilege_id
description: 권한의 ID입니다.
type: string
- name: directory_sync_run_id
description: 디렉터리 동기화 실행 ID입니다.
type: string
- name: operation_name
description: 작업 이름
type: string
```
