# OneLogin 로그
## 개요
Panther는 다음을 통해 OneLogin 로그 수집을 지원합니다 [OneLogin의 통합](https://www.onelogin.com/blog/aws-eventbridge-integration) Amazon EventBridge와의 통합을 통해 Panther가 확장 가능하고 신뢰할 수 있으며 낮은 대기 시간으로 OneLogin 로그를 처리할 수 있습니다.
Panther가 OneLogin 로그를 처리하려면 OneLogin 계정을 구성하여 Panther의 Amazon Web Services(AWS) 계정에 있는 Amazon EventBridge로 데이터를 전송해야 합니다.
## OneLogin 로그를 Panther에 온보딩하는 방법
### OneLogin이 Panther로 데이터 전송하도록 구성하기
{% hint style="info" %}
참고: Panther 인스턴스가 배포된 AWS 계정 ID와 AWS 리전을 기록해 두세요. 이 정보는 Panther 콘솔의 페이지 바닥글에서 확인할 수 있습니다 **설정** > **일반** 페이지의 바닥글에 있습니다.
{% endhint %}
1. OneLogin 관리 콘솔에서 이동하세요 **개발자** > **웹훅.**
2. 로 이동합니다 **새 웹훅** > **Amazon EventBridge용 이벤트 웹훅.**
3. 설명적인 이름을 추가하세요. 예: `Panther 통합`
4. 앞서 기록한 AWS 계정 ID와 리전을 입력하고 클릭하세요 **저장.**
5. 방금 생성된 새 통합을 클릭하세요. 다음 단계에서 사용되므로 다음 항목을 기록해 두세요 **이벤트 소스** 필드이며 다음 단계에서 사용됩니다.
* 형식은 다음과 같아야 합니다 `aws.partner/onelogin.com/US-123456/ffffffffff.`
### Panther에서 새로운 OneLogin 소스 생성하기
1. Panther 콘솔 왼쪽 탐색 막대에서 클릭하세요 **구성** > **로그** **소스**.
2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **새로 만들기.**
3. “OneLogin”을 검색한 다음 해당 타일을 클릭하세요.
4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정 시작**.
5. 페이지에서 **소스 구성** 페이지에서 다음 필드를 작성하세요:
* **이름**: 소스에 대한 설명적인 이름. 예: `내 OneLogin 이벤트`
* **로그 유형**: `OneLogin.Events`
* **버스 이름**: 이전 텍스트에서 기록한 필드(형식 `aws.partner/onelogin.com/US-123456/ffffffffff`)
6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. **설정**. 성공 화면으로 이동합니다:\\
* 성공 화면으로 이동됩니다: [선택적으로 하나 이상의](https://docs.panther.com/detections/panther-managed/packs).
* 사용자를 사용할 것이며, **가 활성화될 수 있습니다** "이벤트가 처리되지 않을 때 알러트를 트리거" **설정의 기본값은**. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\\
## Panther 관리 디텍션
참조 [Panther 관리](https://docs.panther.com/detections/panther-managed) OneLogin용 룰 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/master/rules/onelogin_rules).
## 지원되는 로그 유형
### OneLogin.Events
OneLogin은 조직을 위한 싱글 사인온 및 아이덴티티 관리를 제공합니다.
자세한 내용은 [Event 및 리소스 유형에 대한 OneLogin 문서.](https://developers.onelogin.com/api-docs/1/events/event-resource)
```yaml
스키마: OneLogin.Events
설명: OneLogin은 조직을 위한 싱글 사인온 및 아이덴티티 관리를 제공합니다
참고URL: https://developers.onelogin.com/api-docs/1/events/event-resource
필드:
- 이름: uuid
required: true
설명: OneLogin에서 생성한 이 메시지의 범용 고유 식별자(Universal Unique Identifier).
type: string
- name: account_id
required: true
설명: 이벤트를 발생시킨 계정.
type: string
- 이름: event_timestamp
required: true
설명: 이벤트가 생성된 날짜 및 시간. 이 값은 OneLogin에 의해 자동 생성됩니다.
type: timestamp
timeFormats:
- '%Y-%m-%d %H:%M:%S %Z'
isEventTime: true
- 이름: error_description
설명: 적용 가능한 경우 프로비저닝 오류 세부정보.
type: string
- 이름: login_name
설명: 로그인 사용자의 이름
type: string
- name: app_name
설명: 해당되는 경우 이벤트에 관련된 앱의 이름.
type: string
- 이름: authentication_factor_description
설명: 사용된 인증 요소에 대한 추가 세부정보.
type: string
- 이름: certificate_name
설명: 요청에 포함된 인증서의 이름.
type: string
- 이름: certificate_id
설명: 요청에 포함된 인증서의 ID.
type: string
- 이름: assumed_by_superadmin_or_reseller
설명: 작업이 슈퍼어드민 또는 리셀러에 의해 수행되었음을 나타냅니다.
type: bigint
- name: directory_name
설명: 디렉터리 이름.
type: string
- 이름: actor_user_id
설명: 이벤트를 발생시킨 사용자의 ID.
type: string
지표:
- actor_id
- 이름: user_name
설명: 이벤트를 트리거하기 위해 조치가 취해진 사용자의 이름.
type: string
지표:
- username
- 이름: mapping_id
설명: 작업에 포함된 매핑의 ID.
type: string
- 이름: radius_config_id
설명: 작업에 포함된 Radius 구성의 ID.
type: string
- 이름: risk_score
설명: 이 숫자가 클수록 위험이 더 높습니다.
type: float
- 이름: otp_device_id
설명: 이벤트에 연관된 장치의 ID.
type: string
- 이름: imported_user_id
설명: 가져온 사용자 ID.
type: string
지표:
- actor_id
- 이름: resolution
설명: 해상도(해결 방법).
type: string
- name: directory_id
설명: 디렉터리 ID.
type: string
- 이름: authentication_factor_id
설명: 사용된 인증 요소의 ID.
type: string
- 이름: risk_cookie_id
설명: 위험 쿠키의 ID.
type: string
- 이름: app_id
설명: 해당되는 경우 이벤트에 관련된 앱의 ID.
type: string
- 이름: custom_message
설명: 이벤트에 대한 추가 세부정보.
type: string
- 이름: browser_fingerprint
설명: 브라우저의 지문(fingerprint).
type: string
- 이름: otp_device_name
설명: 이벤트에 관련된 장치의 이름.
type: string
- 이름: actor_user_name
설명: 이벤트를 발생시킨 사용자의 이름(이름 및 성).
type: string
지표:
- username
- 이름: actor_system
설명: 액터가 사용자가 아닐 때 이벤트를 트리거한 작동 시스템.
type: string
- 이름: user_field_name
설명: 사용자 지정 사용자 필드의 이름.
type: string
- 이름: user_field_id
설명: 사용자 지정 사용자 필드의 ID.
type: string
- 이름: assuming_acting_user_id
설명: 해당되는 경우 이벤트를 트리거하기 위해 작동 사용자 역할을 맡은 사용자의 ID.
type: string
- 이름: api_credential_name
설명: 사용된 API 자격증명의 이름.
type: string
- 이름: imported_user_name
설명: 가져온 사용자의 이름.
type: string
지표:
- username
- 이름: note_title
설명: 메모의 제목.
type: string
- 이름: trusted_idp_name
설명: 신뢰된 IDP의 이름.
type: string
- 이름: policy_id
설명: 이벤트에 관련된 정책의 ID.
type: string
- 이름: role_name
설명: 이벤트에 관련된 역할의 이름.
type: string
- 이름: resolved_by_user_id
설명: 문제를 해결한 사용자의 ID.
type: string
- 이름: group_id
설명: 이벤트에 관련된 그룹의 ID.
type: string
- 이름: client_id
설명: 이벤트를 생성한 API 호출을 만든 액세스 토큰을 생성하는 데 사용된 클라이언트 ID.
type: string
- 이름: ipaddr
설명: 이벤트를 발생시키는 데 사용된 머신의 IP 주소.
type: string
지표:
- ip
- 이름: notes
설명: 이벤트에 대한 추가 세부정보.
type: string
- 이름: event_type_id
required: true
설명: 발생한 이벤트 유형.
type: string
- 이름: user_id
설명: 이벤트를 트리거하기 위해 조치가 취해진 사용자의 ID.
type: string
지표:
- actor_id
- 이름: risk_reasons
설명: 이 목록은 위험 점수의 이유를 모두 포함한 것은 아니며 안내로만 사용해야 합니다
type: string
- 이름: proxy_agent_name
설명: 프록시 에이전트의 이름.
type: string
- 이름: policy_type
설명: 정책의 유형.
type: string
- 이름: role_id
설명: 이벤트에 관련된 역할의 ID.
type: string
- name: user_agent
설명: 요청이 호출된 사용자 에이전트.
type: string
- 이름: privilege_name
설명: 권한의 이름.
type: string
- 이름: group_name
설명: 이벤트에 관련된 그룹의 이름.
type: string
- 이름: entity
설명: 이 요청에 관련된 엔터티.
type: string
- 이름: resource_type_id
설명: 이벤트와 연관된 리소스(사용자, 역할, 그룹 등)의 ID.
type: string
- 이름: mapping_name
설명: 매핑의 이름.
type: string
- 이름: task_name
설명: 작업의 이름.
type: string
- 이름: authentication_factor_type
설명: 인증 요소의 유형.
type: string
- 이름: radius_config_name
설명: 사용된 Radius 구성의 이름.
type: string
- 이름: policy_name
설명: 이벤트에 관련된 정책의 이름.
type: string
- 이름: privilege_id
설명: 권한의 ID.
type: string
- 이름: directory_sync_run_id
설명: 디렉터리 동기화 실행 ID.
type: string
- 이름: operation_name
설명: 작업의 이름
type: string
```
