Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Okta System Logs Data Connector bietet die Möglichkeit, Überwachungs- und Ereignisprotokolle aus der Okta Sysem Log-API in Microsoft Sentinel aufzunehmen. Der Datenconnector basiert auf der Microsoft Sentinel Codeless Connector Platform und verwendet die Okta-Systemprotokoll-API, um die Ereignisse abzurufen. Der Connector unterstützt DCR-basierte Aufnahmezeittransformationen , die die empfangenen Sicherheitsereignisdaten in einer benutzerdefinierten Spalte analysieren, sodass Abfragen sie nicht erneut analysieren müssen, was zu einer besseren Leistung führt.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | Ja |
| Transformation bei Ingestion | Nein |
| Beispielabfragen | Ja |
Spalten
| Kolumne | Typ | BESCHREIBUNG |
|---|---|---|
| ActingAppName | Schnur | Der Name der Anwendung, die die Aktion initiiert. |
| ActingAppType | Schnur | Der Typ der Anwendung, die die Aktion initiiert (z. B. Browser, API-Client). |
| ActorDetailEntry | dynamisch | Detaillierte Informationen zum Akteur, der die Aktion ausführt, falls verfügbar. |
| ActorDisplayName | Schnur | Der Anzeigename des Akteurs, der die Aktion ausführt. |
| AkteurSitzungId | Schnur | Die Sitzungs-ID, die dem Akteur zugeordnet ist, der die Aktion ausführt. |
| ActorUserId | Schnur | Die Benutzer-ID des Akteurs, der die Aktion ausführt, falls zutreffend. |
| AkteurBenutzerIdTyp | Schnur | Der Typ der Benutzer-ID für den Akteur (z. B. OktaId). |
| ActorUsername | Schnur | Der Benutzername des Akteurs, der die Aktion ausführt. |
| AkteurBenutzernameTyp | Schnur | Der Typ des Benutzernamens für den Akteur (z. B. UPN). |
| Akteur-Nutzertyp | Schnur | Der Typ des Akteurs (z. B. Normal, Systemprinzipal). |
| AuthenticationContextAuthenticationProvider | Schnur | Der im Kontext der Aktion verwendete Authentifizierungsanbieter. |
| AuthenticationContextAuthenticationStep | INT | Der Schritt im Authentifizierungsprozess, wenn die Aktion aufgetreten ist. |
| AuthenticationContextCredentialProvider | Schnur | Der Anmeldeinformationsanbieter, der während des Authentifizierungsprozesses verwendet wird. |
| AuthenticationContextInterface | Schnur | Die Schnittstelle, die während des Authentifizierungsprozesses verwendet wird (z. B. Web, Mobil). |
| AuthenticationContextIssuerId | Schnur | Die ID des Ausstellers, der am Authentifizierungsprozess beteiligt ist. |
| AuthenticationContextIssuerType | Schnur | Der Typ des Ausstellers, der an dem Authentifizierungsprozess beteiligt ist. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| Debug-Daten | dynamisch | Zusätzliche Debugdaten im Zusammenhang mit dem Ereignis. |
| DvcAction | Schnur | Das Ergebnis der Geräteaktion (z. B. Zulassen, Verweigern, Teilweise). |
| Ereignismeldung | Schnur | Eine beschreibende Nachricht, die dem Ereignis zugeordnet ist. |
| DetailsZumUrsprünglichenErgebnisDesEreignisses | Schnur | Details zum ursprünglichen Ergebnis des Ereignisses. |
| Ursprünglicher Ereignistyp | Schnur | Der ursprüngliche Typ des Ereignisses vor der Transformation. |
| EventOriginalUid | Schnur | Der eindeutige Bezeichner für das ursprüngliche Ereignis. |
| Ereignisergebnis | Schnur | Das allgemeine Ergebnis des Ereignisses (z. B. Erfolg, Fehler). |
| EventSeverity | Schnur | Der Schweregrad des Ereignisses (z. B. Informativ, Hoch). |
| HTTP-Benutzeragent | Schnur | Die unformatierte Benutzer-Agent-Zeichenfolge des Clients, der das Ereignis initiiert. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable den Wert false hat, wird die Erfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LegacyEventType | Schnur | Der Legacytypbezeichner für das Ereignis, falls zutreffend. |
| Anmeldemethode | Schnur | Die Zum Anmelden verwendete Methode (z. B. Kennwort, Token). |
| OriginaldarstellerAlternativId | Schnur | Die alternative ID des Akteurs in den ursprünglichen Ereignisdaten. |
| Ursprüngliches Client-Gerät | Schnur | Der Typ des Clientgeräts, das das Ereignis initiiert (z. B. Computer). |
| OriginalOutcomeResult | Schnur | Das Rohergebnis des ursprünglichen Ereignisses. |
| OriginalSeverity | Schnur | Der rohe Schweregrad des ursprünglichen Ereignisses. |
| OriginalTarget | dynamisch | Die ursprünglichen Ziele, die am Ereignis beteiligt sind. |
| OriginalUserId | Schnur | Die ursprüngliche Benutzer-ID in den Ereignisdaten. |
| OriginalBenutzertyp | Schnur | Der Typ des Benutzers in den ursprünglichen Ereignisdaten. |
| Anfrage | dynamisch | Details der Anforderung, die dem Ereignis zugeordnet ist. |
| SecurityContextAsNumber | INT | Die autonome Systemnummer (AS) im Sicherheitskontext. |
| SicherheitskontextAlsOrganisation | Schnur | Die Organisation, die der AS-Nummer im Sicherheitskontext zugeordnet ist. |
| SecurityContextDomain | Schnur | Die Domäne, die im Sicherheitskontext beteiligt ist. |
| SecurityContextIsProxy | Boolesch | Gibt an, ob ein Proxy im Sicherheitskontext verwendet wird. |
| SourceSystem | Schnur | Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| SrcDeviceType | Schnur | Der Typ des Quellgeräts (z. B. Computer). |
| SrcDvcId | Schnur | Der eindeutige Bezeichner für das Quellgerät. |
| SrcDvcIdType | Schnur | Der Typ der Quellgeräte-ID (z. B. OktaId). |
| SrcDvcOs | Schnur | Das Betriebssystem des Quellgeräts. |
| SrcGeoStadt | Schnur | Die Stadt des geografischen Standorts des Quellgeräts. |
| SrcGeoCountry | Schnur | Das Land des geografischen Standorts des Quellgeräts. |
| SrcGeoLatitude | Echt | Der Breitengrad des geografischen Standorts des Quellgeräts. |
| SrcGeoLongtitude | Echt | Der Längengrad des geografischen Standorts des Quellgeräts. |
| SrcGeo-Postleitzahl | Schnur | Die Postleitzahl des geografischen Standorts des Quellgeräts. |
| QuelleGeoRegion | Schnur | Die Region/der Status des geografischen Standorts des Quellgeräts. |
| SrcIpAddr | Schnur | Die IP-Adresse des Quellgeräts. |
| SrcIsp | Schnur | Der Internetdienstanbieter (Internet Service Provider, ISP) des Quellgeräts. |
| SrcZone | Schnur | Die Netzwerkzone des Quellgeräts. |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis generiert wurde. |
| Transaktionsdetails | dynamisch | Details zur Transaktion, die dem Ereignis zugeordnet ist. |
| Transaktions-ID | Schnur | Der eindeutige Bezeichner der Transaktion. |
| Transaktionstyp | Schnur | Der Typ der Transaktion, die dem Ereignis zugeordnet ist. |
| Typ | Schnur | Der Name der Tabelle. |
| Version | Schnur | Die Version des Ereignisformats oder -schemas. |