Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El conector de datos de registros del sistema de Okta permite ingerir registros de auditoría y eventos de la API de registro del sistema de Okta en Microsoft Sentinel. El conector de datos se basa en la plataforma del conector sin código de Microsoft Sentinel y usa la API de registro del sistema okta para capturar los eventos. El conector admite transformaciones de tiempo de ingesta basadas en DCR que analizan los datos de eventos de seguridad recibidos en columnas personalizadas para que las consultas no necesiten volver a analizarlos, lo que da lugar a un mejor rendimiento.
Atributos de tabla
| Atributo | Importancia |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Información de seguridad |
| Registro básico | Sí |
| Transformación en tiempo de ingesta | No |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| ActingAppName | cuerda / cadena | Nombre de la aplicación que inicia la acción. |
| TipoDeAplicaciónActiva | cuerda / cadena | Tipo de la aplicación que inicia la acción (por ejemplo, Explorador, cliente de API). |
| ActorDetailEntry | dinámico | Información detallada sobre el actor que realiza la acción, si está disponible. |
| ActorDisplayName | cuerda / cadena | Nombre visible del actor que realiza la acción. |
| IdDeSesiónDelActor | cuerda / cadena | Identificador de sesión asociado al actor que realiza la acción. |
| ActorUserId | cuerda / cadena | Identificador de usuario del actor que realiza la acción, si procede. |
| ActorUserIdType | cuerda / cadena | Tipo de identificador de usuario para el actor (por ejemplo, OktaId). |
| ActorUsername | cuerda / cadena | Nombre de usuario del actor que realiza la acción. |
| TipoDeNombreDeUsuarioDelActor | cuerda / cadena | Tipo de nombre de usuario para el actor (por ejemplo, UPN). |
| ActorUserType | cuerda / cadena | Tipo del actor (por ejemplo, Regular, Principal del sistema). |
| AuthenticationContextAuthenticationProvider | cuerda / cadena | Proveedor de autenticación usado en el contexto de la acción. |
| AuthenticationContextAuthenticationStep | Int | Paso del proceso de autenticación cuando se produjo la acción. |
| AuthenticationContextCredentialProvider | cuerda / cadena | Proveedor de credenciales usado durante el proceso de autenticación. |
| Interfaz de Contexto de Autenticación | cuerda / cadena | Interfaz usada durante el proceso de autenticación (por ejemplo, web, móvil). |
| AuthenticationContextIssuerId | cuerda / cadena | El identificador del emisor implicado en el proceso de autenticación. |
| TipoDeEmisorDelContextoDeAutenticación | cuerda / cadena | Tipo del emisor implicado en el proceso de autenticación. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| DebugData | dinámico | Datos de depuración adicionales relacionados con el evento. |
| DvcAction | cuerda / cadena | Resultado de la acción del dispositivo (por ejemplo, Permitir, Denegar, Parcial). |
| MensajeDelEvento | cuerda / cadena | Mensaje descriptivo asociado al evento. |
| DetallesDelResultadoOriginalDelEvento | cuerda / cadena | Detalles del resultado original del evento. |
| TipoOriginalDelEvento | cuerda / cadena | Tipo original del evento antes de la transformación. |
| EventOriginalUid | cuerda / cadena | Identificador único del evento original. |
| ResultadoDelEvento | cuerda / cadena | Resultado general del evento (por ejemplo, Correcto, Error). |
| EventSeverity | cuerda / cadena | Nivel de gravedad del evento (por ejemplo, Informativo, Alto). |
| Agente de Usuario HTTP | cuerda / cadena | Cadena de agente de usuario sin procesar del cliente que inicia el evento. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable esté establecido como false, la ingesta no se facturará a su cuenta de Azure |
| LegacyEventType | cuerda / cadena | Identificador de tipo heredado para el evento, si procede. |
| Método de Inicio de Sesión | cuerda / cadena | Método usado para iniciar sesión (por ejemplo, contraseña, token). |
| IdAlternativoDelActorOriginal | cuerda / cadena | Identificador alternativo del actor en los datos del evento original. |
| DispositivoOriginalDelCliente | cuerda / cadena | Tipo de dispositivo cliente que inicia el evento (por ejemplo, Equipo). |
| OriginalOutcomeResult | cuerda / cadena | El resultado bruto del evento original. |
| OriginalSeverity | cuerda / cadena | Nivel bruto de gravedad del evento original. |
| OriginalTarget | dinámico | Los destinos originales implicados en el evento. |
| OriginalUserId | cuerda / cadena | Identificador de usuario original en los datos del evento. |
| TipoDeUsuarioOriginal | cuerda / cadena | Tipo de usuario en los datos de evento originales. |
| Solicitud | dinámico | Detalles de la solicitud asociada al evento. |
| SecurityContextAsNumber | Int | Número del sistema autónomo (AS) en el contexto de seguridad. |
| SecurityContextAsOrg | cuerda / cadena | La organización asociada al número de AS en el contexto de seguridad. |
| SecurityContextDomain | cuerda / cadena | Dominio implicado en el contexto de seguridad. |
| SecurityContextIsProxy | booleano | Indica si se usa un proxy en el contexto de seguridad. |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SrcDeviceType | cuerda / cadena | Tipo de dispositivo de origen (por ejemplo, ordenador). |
| SrcDvcId | cuerda / cadena | Identificador único del dispositivo de origen. |
| SrcDvcIdType | cuerda / cadena | Tipo de identificador de dispositivo de origen (por ejemplo, OktaId). |
| SrcDvcOs | cuerda / cadena | Sistema operativo del dispositivo de origen. |
| SrcGeoCity | cuerda / cadena | La ciudad de la ubicación geográfica del dispositivo de origen. |
| SrcGeoCountry | cuerda / cadena | País de la ubicación geográfica del dispositivo de origen. |
| SrcGeoLatitude | verdadero | Latitud de la ubicación geográfica del dispositivo de origen. |
| SrcGeoLongtitude | verdadero | Longitud de la ubicación geográfica del dispositivo de origen. |
| SrcGeoPostalCode | cuerda / cadena | Código postal de la ubicación geográfica del dispositivo de origen. |
| SrcGeoRegion | cuerda / cadena | Región o estado de la ubicación geográfica del dispositivo de origen. |
| SrcIpAddr | cuerda / cadena | Dirección IP del dispositivo de origen. |
| SrcIsp | cuerda / cadena | Proveedor de servicios de Internet (ISP) del dispositivo de origen. |
| SrcZone | cuerda / cadena | Zona de red del dispositivo de origen. |
| Id del inquilino | cuerda / cadena | El ID del espacio de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Hora en que se generó el evento. |
| Detalle de la Transacción | dinámico | Detalles sobre la transacción asociada al evento. |
| TransactionId | cuerda / cadena | Identificador único de la transacción. |
| TipoDeTransacción | cuerda / cadena | Tipo de transacción asociada al evento. |
| Tipo | cuerda / cadena | Nombre de la tabla. |
| Versión | cuerda / cadena | Versión del formato o esquema del evento. |