Auth0

Auth0是一个身份提供程序和基于API的数据源。它的日志可以生成CloudService文档。

要设置Auth0,您需要:

  1. 配置auth0将数据发送到收集器。
  2. 在Insutigridr中设置Auth0事件源。
  3. 验证配置是否有效。

配置auth0将数据发送到收藏器

要为InsightIDR配置Auth0,请登录到Auth0并从仪表板执行以下操作:

  1. 设置机器到机器应用程序:这将提供访问管理API所需的凭据。有关说明,请参见Auth0文档中的“为管理API创建和授权机器对机器应用程序”:https://auth0.com/docs/tokens/management-api-access-tokens/create-and-authorize-a-machine-to-machine-application

  2. 定义JSON Web令牌的令牌设置:要对API端点进行身份验证,您将需要JSON Web令牌范围。令牌的默认超时为10小时(36000秒)。由于数据源在每次运行时获取新令牌,因此可以安全地将超时减少到1小时或更短时间。您可以通过auth0遵循本文档中列出的步骤来管理API Access令牌:https://auth0.com/docs/tokens/management-api-access-tokens

  3. 授权机器对机器的应用程序:选择这些角色:阅读:日志,读:logs_users.. Auth0可以按照本文档中列出的步骤进行操作:https://auth0.com/docs/tokens/management-api-access-tokens/get-management-api-access-tokens-for-proction.

在Insutigridr中设置验证

  1. 从左菜单,转到数据收集.
  2. 当数据收集页面出现时,单击设置事件源下拉点和选择添加事件源.
  3. 在安全数据部分,单击云数据偶像将出现“添加事件源”面板。
  4. 从事件源下拉列表中选择收集器和Auth0。
  5. 为您的活动源命名。
  6. 可选择选择发送无功率数据.
  7. 指定将使用在中设置的访问令牌的用户域在开始之前
  8. 选择您在中设置的凭据在开始之前
  9. 点击拯救.

验证配置

完成以下步骤来查看日志,并确保事件正在进入收集器:

  1. 单击InsightIdr的左侧菜单中的数据集合并导航到“事件源”选项卡。查找刚刚创建的新事件源,然后单击查看原始日志按钮如果在框中看到日志消息,则表明日志正在流向收集器。
  2. 点击日志搜索在InsightIDR的左侧菜单中。
  3. 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。Auth0日志流进云服务活动日志设置。

日志至少需要7分钟才能出现在“日志搜索”中

请注意,在设置事件源后,日志将在日志搜索中显示至少7分钟。如果在等待几分钟后选择查看事件源时查看原始日志的日志搜索后的日志消息,则在等待几分钟后显示,则您的日志与此事件的推荐格式和类型不匹配来源。