Okta SSO-Connector (über Azure Functions) für Microsoft Sentinel
Der Okta Single Sign-On (SSO)-Connector bietet die Möglichkeit, Audit- und Ereignisprotokolle von der Okta-API in Microsoft Sentinel zu erfassen. Der Connector bietet Einblick in diese Protokolltypen in Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Überwachungs- und Untersuchungsfunktionen zu verbessern.
Connector-Attribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | Okta_CL |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Top 10 der aktiven Anwendungen
Okta_CL
| mv-expand todynamic(target_s)
| where target_s.type == "AppInstance"
| summarize count() by tostring(target_s.alternateId)
| top 10 by count_
Top 10 der Client-IP-Adressen
Okta_CL
| summarize count() by client_ipAddress_s
| top 10 by count_
Voraussetzungen
Stellen Sie für die Integration in Okta SSO (über Azure Funktionen) Folgendes sicher:
- Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
- Okta-API-Token: Ein Okta-API-Token ist erforderlich. Weitere Informationen zur Okta-Systemprotokoll-API finden Sie in der Dokumentation.
Installationsanweisungen des Anbieters
Hinweis
Dieser Connector verbindet sich über Azure Functions mit Okta SSO, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.
Hinweis
Dieser Connector wurde aktualisiert. Wenn Sie bisher eine Vorgängerversion bereitgestellt haben und die Version aktualisieren möchten, löschen Sie die vorhandene Okta Azure-Funktion, bevor Sie diese Version erneut bereitstellen.
Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
SCHRITT 1: Konfigurationsschritte für die Okta SSO-API
Befolgen Sie die folgenden Anweisungen, um ein API-Token zu erstellen.
Hinweis: Weitere Informationen zu den von Okta erzwungenen Übertragungsratenlimits finden Sie in der Dokumentation.
SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen
WICHTIG: Für die Bereitstellung des Okta SSO-Connectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (können im Folgenden kopiert werden) sowie das Autorisierungstoken der Okta SSO-API bereithalten.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.