Microsoft Sentinel 用 Okta Single Sign-On (Azure Functions を使用) コネクタ
Okta Single Sign-On (SSO) コネクタには、Okta API から Microsoft Sentinel に監査ログとイベント ログを取り込む機能があります。 このコネクタを使うと、Microsoft Sentinel でこれらのログの種類を可視化して、ダッシュボードを表示し、カスタム アラートを作成し、監視と調査の機能を向上させることができます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | Okta_CL |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
上位 10 個のアクティブなアプリケーション
Okta_CL
| mv-expand todynamic(target_s)
| where target_s.type == "AppInstance"
| summarize count() by tostring(target_s.alternateId)
| top 10 by count_
上位 10 個のクライアント IP アドレス
Okta_CL
| summarize count() by client_ipAddress_s
| top 10 by count_
前提条件
Okta Single Sign-On (Azure Functions を使用) と統合するには、以下が必要です。
- Microsoft.Web/sites のアクセス許可: 関数アプリを作成するための、Azure Functions に対する読み取りと書き込みのアクセス許可が必要です。 Azure Functions の詳細については、こちらのドキュメントを参照してください。
- Okta API トークン: Okta API トークンが必要です。 Okta System Log API の詳細に関するドキュメントを参照してください。
ベンダーのインストール手順
注意
このコネクタでは Azure Functions を使って Okta SSO に接続し、ログを Microsoft Sentinel にプルします。 これにより、追加のデータ インジェスト コストが発生する可能性があります。 詳細については、「Azure Functions の価格」ページを確認してください。
注意
このコネクタは更新されました。以前のバージョンをデプロイしていて、更新する場合は、このバージョンを再デプロイする前に、既存の Okta Azure 関数を削除してください。
(省略可能な手順) ワークスペースと API の認可キーまたはトークンを Azure Key Vault に安全に格納します。 Azure Key Vault には、キー値を格納および取得するためのセキュリティで保護されたメカニズムが用意されています。 Azure 関数アプリで Azure Key Vault を使用するには、これらの手順に従います。
手順 1 - Okta SSO API の構成手順
これらの手順に従って、API トークンを作成します。
注 - Okta によって適用されるレート制限事項の詳細については、ドキュメントを参照してください。
手順 2 - 次の 2 つのデプロイ オプションから 1 つを選び、コネクタと関連付けられている Azure 関数をデプロイする
重要: Okta SSO コネクタをデプロイする前に、ワークスペース ID とワークスペース主キー (以下からコピー可)、Okta SSO API の認可トークンをすぐに使用できるようにしておいてください。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。