# OneLogin 로그 ## 개요 Panther는 다음을 통해 OneLogin 로그 수집을 지원합니다 [OneLogin의 통합 기능과](https://www.onelogin.com/blog/aws-eventbridge-integration) Amazon EventBridge. 이를 통해 Panther는 OneLogin 로그를 확장 가능하고 안정적이며 지연 시간이 짧은 방식으로 처리할 수 있습니다. Panther가 OneLogin 로그를 처리하려면, OneLogin 계정이 Panther의 Amazon Web Services(AWS) 계정에 있는 Amazon EventBridge로 데이터를 전송하도록 구성해야 합니다. ## OneLogin 로그를 Panther에 온보딩하는 방법 ### Panther로 데이터를 보내도록 OneLogin 구성 {% hint style="info" %} 참고: Panther 인스턴스가 배포된 AWS 계정 ID와 AWS 리전을 기록해 두세요. 이 정보는 Panther Console의 **설정** > **일반** 페이지 하단에서 찾을 수 있습니다. {% endhint %} 1. OneLogin 관리 콘솔에서 다음으로 이동합니다. **Developers** > **Webhooks.** 2. 다음으로 이동하세요 **New Webhook** > **Amazon EventBridge용 이벤트 Webhook.** 3. 설명적인 이름을 추가합니다. 예: `Panther Integration` 4. 앞서 적어 둔 AWS 계정 ID와 리전을 입력한 다음 **Save를 클릭합니다.** 5. 방금 생성한 새 통합을 클릭합니다. 다음 항목을 기록해 두세요. **Event Source** 필드는 다음 단계에서 사용됩니다. * 형식은 다음과 같아야 합니다 `aws.partner/onelogin.com/US-123456/ffffffffff.` ### Panther에 새 OneLogin 소스 생성 1. Panther Console의 왼쪽 탐색 모음에서 **구성하세요.** > **로그** **소스**. 2. 을 클릭한 다음 **새로 만들기 를 클릭합니다.** 3. “OneLogin”을 검색한 다음 해당 타일을 클릭합니다. 4. 을 클릭한 다음 **설정 시작**. 5. 다음 **Configure Source** 페이지에서 다음 필드를 채웁니다: * **이름**: 소스에 대한 설명적인 이름. 예: `내 OneLogin 이벤트` * **로그 유형**: 다음을 선택합니다 `OneLogin.Events` * **Bus Name**: 이전 텍스트에서 기록한 필드(형식 `aws.partner/onelogin.com/US-123456/ffffffffff`) 6. 을 클릭한 다음 **설정**. 성공 화면으로 이동합니다:\\
The success screen reads, "Everything looks good! Panther will now automatically pull & process logs from your account"
* 선택적으로 하나 이상의 [디택션 Packs](https://docs.panther.com/detections/panther-managed/packs). * 그 **이벤트가 처리되지 않을 때 알러트 트리거** 설정의 기본값은 **예**. 이 옵션은 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지나 로그 소스에서 데이터가 더 이상 유입되지 않으면 알림을 받게 되기 때문입니다. 기간은 구성할 수 있으며 기본값은 24시간입니다.\\
The "Trigger an alert when no events are processed" toggle is set to YES. The "How long should Panther wait before it sends you an alert that no events have been processed" setting is set to 1 Day
## Panther에서 관리하는 탐지 규칙 참조하세요 [Panther에서 관리하는](https://docs.panther.com/detections/panther-managed) OneLogin의 규칙은 [panther-analysis GitHub 저장소에 있습니다](https://github.com/panther-labs/panther-analysis/tree/master/rules/onelogin_rules). ## 지원되는 로그 유형 ### OneLogin.Events OneLogin은 조직을 위한 싱글 사인온과 ID 관리를 제공합니다. 자세한 내용은 [이벤트 및 리소스 유형에 대한 OneLogin 문서.](https://developers.onelogin.com/api-docs/1/events/event-resource) ```yaml schema: OneLogin.Events description: OneLogin은 조직을 위한 싱글 사인온과 ID 관리를 제공합니다 referenceURL: https://developers.onelogin.com/api-docs/1/events/event-resource fields: - name: uuid required: true description: OneLogin이 생성한 이 메시지의 범용 고유 식별자입니다. type: string - 이름: account_id required: true description: 이벤트를 트리거한 계정입니다. type: string - name: event_timestamp required: true description: 이벤트가 생성된 시간과 날짜입니다. 이 값은 OneLogin에 의해 자동 생성됩니다. type: timestamp timeFormats: - '%Y-%m-%d %H:%M:%S %Z' isEventTime: true - name: error_description description: 해당되는 경우 프로비저닝 오류 세부 정보입니다. type: string - name: login_name description: 로그인 사용자의 이름 type: string - 이름: app_name description: 해당되는 경우 이벤트와 관련된 앱의 이름입니다. type: string - name: authentication_factor_description description: 사용된 인증 요소에 대한 자세한 정보입니다. type: string - name: certificate_name description: 요청에 포함된 인증서의 이름입니다. type: string - name: certificate_id description: 요청에 포함된 인증서의 ID입니다. type: string - name: assumed_by_superadmin_or_reseller description: 작업이 슈퍼관리자 또는 리셀러에 의해 수행되었음을 나타냅니다. type: bigint - 이름: directory_name description: 디렉터리 이름입니다. type: string - name: actor_user_id description: 이벤트를 트리거한 작업의 주체인 사용자의 ID입니다. type: string indicators: - actor_id - name: user_name description: 이벤트를 트리거하기 위해 작업 대상이 된 사용자의 이름입니다. type: string indicators: - username - name: mapping_id description: 작업에 포함된 매핑의 ID입니다. type: string - name: radius_config_id description: 작업에 포함된 Radius 구성의 ID입니다. type: string - name: risk_score description: 이 숫자가 높을수록 위험도도 높습니다. type: float - name: otp_device_id description: 이벤트와 관련된 장치의 ID입니다. type: string - name: imported_user_id description: 가져온 사용자의 ID입니다. type: string indicators: - actor_id - name: resolution description: 해결 결과입니다. type: string - 이름: directory_id description: 디렉터리 ID입니다. type: string - name: authentication_factor_id description: 사용된 인증 요소의 ID입니다. type: string - name: risk_cookie_id description: 위험 쿠키의 ID입니다. type: string - name: app_id description: 해당되는 경우 이벤트와 관련된 앱의 ID입니다. type: string - name: custom_message description: 이벤트에 대한 자세한 정보입니다. type: string - name: browser_fingerprint description: 브라우저의 핑거프린트입니다. type: string - name: otp_device_name description: 이벤트와 관련된 장치의 이름입니다. type: string - name: actor_user_name description: 이벤트를 트리거한 작업의 주체인 사용자의 이름과 성입니다. type: string indicators: - username - name: actor_system description: 행위자가 사용자가 아닐 때 이벤트를 트리거한 작업 시스템입니다. type: string - name: user_field_name description: 사용자 지정 사용자 필드의 이름입니다. type: string - name: user_field_id description: 사용자 지정 사용자 필드의 ID입니다. type: string - name: assuming_acting_user_id description: 해당되는 경우, 작업 중인 사용자의 역할을 대신하여 이벤트를 트리거한 사용자의 ID입니다. type: string - name: api_credential_name description: 사용된 API 자격 증명의 이름입니다. type: string - name: imported_user_name description: 가져온 사용자의 이름입니다. type: string indicators: - username - name: note_title description: 메모의 제목입니다. type: string - name: trusted_idp_name description: 신뢰할 수 있는 IDP의 이름입니다. type: string - name: policy_id description: 이벤트와 관련된 정책의 ID입니다. type: string - name: role_name description: 이벤트와 관련된 역할의 이름입니다. type: string - name: resolved_by_user_id description: 문제를 해결한 사용자의 ID입니다. type: string - name: group_id description: 이벤트와 관련된 그룹의 ID입니다. type: string - name: client_id description: 이벤트를 생성한 API 호출을 수행한 액세스 토큰을 생성하는 데 사용된 클라이언트 ID입니다. type: string - name: ipaddr description: 이벤트를 트리거하는 데 사용된 머신의 IP 주소입니다. type: string indicators: - ip - name: notes description: 이벤트에 대한 자세한 정보입니다. type: string - name: event_type_id required: true description: 트리거된 이벤트 유형입니다. type: string - 이름: user_id description: 이벤트를 트리거하기 위해 작업 대상이 된 사용자의 ID입니다. type: string indicators: - actor_id - name: risk_reasons description: 이는 위험 점수의 사유를 모두 열거한 포괄적인 목록이 아니며 참고용으로만 사용해야 합니다 type: string - name: proxy_agent_name description: 프록시 에이전트의 이름입니다. type: string - name: policy_type description: 정책의 유형입니다. type: string - name: role_id description: 이벤트와 관련된 역할의 ID입니다. type: string - 이름: user_agent description: 요청이 호출된 사용자 에이전트입니다 type: string - name: privilege_name description: 권한의 이름입니다. type: string - name: group_name description: 이벤트와 관련된 그룹의 이름입니다. type: string - name: entity description: 이 요청과 관련된 엔터티입니다. type: string - name: resource_type_id description: 이벤트와 연결된 리소스(사용자, 역할, 그룹 등)의 ID입니다. type: string - name: mapping_name description: 매핑의 이름입니다. type: string - name: task_name description: 작업의 이름입니다. type: string - name: authentication_factor_type description: 인증 유형의 유형입니다. type: string - name: radius_config_name description: 사용된 Radius 구성의 이름입니다. type: string - name: policy_name description: 이벤트와 관련된 정책의 이름입니다. type: string - name: privilege_id description: 권한의 ID입니다. type: string - name: directory_sync_run_id description: 디렉터리 동기화 실행 ID입니다. type: string - name: operation_name description: 작업 이름 type: string ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/data-onboarding/supported-logs/onelogin.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.