Connecteur d’authentification unique Okta (avec Azure Functions) pour Microsoft Sentinel
Le connecteur Okta Single Sign-On (SSO) permet d’ingérer les journaux d’audit et d’événements de l’API Okta dans Microsoft Sentinel. Le connecteur fournit une visibilité sur ces types de journaux dans Microsoft Sentinel pour afficher les tableaux de bord, créer des alertes personnalisées et améliorer les fonctionnalités de surveillance et d’investigation.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | Okta_CL |
| Support des Règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
10 principales applications actives
Okta_CL
| mv-expand todynamic(target_s)
| where target_s.type == "AppInstance"
| summarize count() by tostring(target_s.alternateId)
| top 10 by count_
10 principales adresses IP clientes
Okta_CL
| summarize count() by client_ipAddress_s
| top 10 by count_
Prérequis
Pour intégrer Okta Single Sign-On (avec Azure Functions), vérifiez que vous disposez des éléments suivants :
- Autorisations Microsoft.Web/sites : Autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction requises. Consultez la documentation pour en savoir plus sur Azure Functions.
- Jeton d’API Okta : un jeton d’API Okta est requis. Consultez la documentation pour en savoir plus sur l’API du journal système Okta.
Instructions d’installation du fournisseur
Notes
Ce connecteur utilise Azure Functions pour se connecter à Okta SSO et ainsi extraire les journaux dans Microsoft Sentinel. Il peut en résulter des coûts supplémentaires d’ingestion des données. Si vous souhaitez en savoir plus, veuillez consulter la page des tarifs d’Azure Functions.
Notes
Ce connecteur a été mis à jour, si vous avez précédemment déployé une version antérieure et que vous voulez effectuer une mise à jour, supprimez la fonction Azure Okta existante avant de redéployer cette version.
(Étape facultative) Stockez en toute sécurité la ou les clés ou jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
ÉTAPE 1 - Étapes de configuration pour l’API Okta SSO
Suivez ces instructions pour créer un jeton d’API.
Remarque : pour plus d’informations sur les restrictions de limite de débit appliquées par Okta, reportez-vous à la documentation.
ÉTAPE 2 - Choisissez UNE des deux options de déploiement suivantes pour déployer le connecteur et la fonction Azure associée
IMPORTANT : Avant de déployer le connecteur de données Okta SSO, disposez de l’ID d’espace de travail et de la clé primaire de l’espace de travail (qui peuvent être copiés à partir de ce qui suit), ainsi que du jeton d’autorisation d’API Okta SSO, déjà disponibles.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.