Auth0

Auth0是一个身份提供者和基于API的数据源。它的日志可以生成CloudService文档。

要设置Auth0,你需要:

  1. 配置Auth0以将数据发送到收集器。
  2. 在InsightIDR中设置Auth0事件源。
  3. 验证配置是否有效。

配置Auth0以将数据发送到收集器

要为InsightIDR配置Auth0,登录到Auth0,并从仪表板采取以下操作:

  1. 设置一个机器到机器的应用程序:这将提供访问管理API所需的凭据。有关说明,请参见Auth0文档中的“为管理API创建和授权机器对机器应用程序”:https://auth0.com/docs/tokens/management-api-access-tokens/create-and-authorize-a-machine-to-machine-application

  2. 定义JSON Web令牌的令牌设置:为了对API端点进行身份验证,您需要一个JSON Web Token范围。令牌的默认超时大约是10小时(36000秒)。由于数据源在每次运行时会获取一个新令牌,因此可以安全地将超时时间减少到1小时或更少。您可以按照本文档中列出的Auth0管理API访问令牌的步骤:https://auth0.com/docs/tokens/management-api-access-tokens

  3. 授权机器到机器应用程序:选择以下角色:读:日志读:logs_users.您可以按照本文档中列出的Auth0步骤:https://auth0.com/docs/tokens/management-api-access-tokens/get-management-api-access-tokens-for-production

在InsightIDR中设置Auth0

  1. 从左边的菜单,转到数据收集
  2. 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源
  3. 从安全数据部分中,单击云数据图标。将出现“添加事件源”面板。
  4. 从事件源下拉菜单中选择收集器和Auth0。
  5. 命名事件源。
  6. 选择发送未解析的数据
  7. 属性中设置的访问令牌的用户域在你开始之前的一步。
  8. 中设置的凭据在你开始之前的一步。
  9. 点击保存

验证配置

完成以下步骤来查看日志,并确保事件正在进入收集器:

  1. 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果您在框中看到日志消息,那么这表明日志正在流向收集器。
  2. 点击日志搜索在InsightIDR的左侧菜单中。
  3. 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。Auth0日志流进云服务活动日志设置。

日志至少需要7分钟才能出现在“日志搜索”中

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。