Auth0
Auth0是一个身份提供者和基于API的数据源。它的日志可以生成CloudService文档。
要设置Auth0,你需要:
配置Auth0以将数据发送到收集器
要为InsightIDR配置Auth0,登录到Auth0,并从仪表板采取以下操作:
设置一个机器到机器的应用程序:这将提供访问管理API所需的凭据。有关说明,请参见Auth0文档中的“为管理API创建和授权机器对机器应用程序”:https://auth0.com/docs/tokens/management-api-access-tokens/create-and-authorize-a-machine-to-machine-application
定义JSON Web令牌的令牌设置:为了对API端点进行身份验证,您需要一个JSON Web Token范围。令牌的默认超时大约是10小时(36000秒)。由于数据源在每次运行时会获取一个新令牌,因此可以安全地将超时时间减少到1小时或更少。您可以按照本文档中列出的Auth0管理API访问令牌的步骤:https://auth0.com/docs/tokens/management-api-access-tokens
授权机器到机器应用程序:选择以下角色:
读:日志
,读:logs_users
.您可以按照本文档中列出的Auth0步骤:https://auth0.com/docs/tokens/management-api-access-tokens/get-management-api-access-tokens-for-production
在InsightIDR中设置Auth0
- 从左边的菜单,转到数据收集.
- 当出现“数据采集”页面时,单击设置事件源下拉选择添加事件源.
- 从安全数据部分中,单击云数据图标。将出现“添加事件源”面板。
- 从事件源下拉菜单中选择收集器和Auth0。
- 命名事件源。
- 选择发送未解析的数据.
- 属性中设置的访问令牌的用户域在你开始之前的一步。
- 中设置的凭据在你开始之前的一步。
- 点击保存.
验证配置
完成以下步骤来查看日志,并确保事件正在进入收集器:
- 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果您在框中看到日志消息,那么这表明日志正在流向收集器。
- 点击日志搜索在InsightIDR的左侧菜单中。
- 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。Auth0日志流进
云服务活动
日志设置。
日志至少需要7分钟才能出现在“日志搜索”中
请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。