Microsoft Sentinel용 OKTA Single Sign-On(Azure Functions 사용) 커넥터
OKTA Single Sign-On(SSO) 커넥터는 OKTA API에서 Microsoft Sentinel로 감사 및 이벤트 로그를 수집하는 기능을 제공합니다. 이 커넥터는 Microsoft Sentinel의 이러한 로그 유형에 대한 표시 여부를 제공하여 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링 및 조사 기능을 개선시킵니다.
자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.
커넥터 특성
| 커넥터 특성 | 설명 |
|---|---|
| Log Analytics 테이블 | Okta_CL |
| 데이터 수집 규칙 지원 | 현재 지원되지 않음 |
| 다음에서 지원 | Microsoft Corporation |
쿼리 샘플
상위 10개의 활성 애플리케이션
Okta_CL
| mv-expand todynamic(target_s)
| where target_s.type == "AppInstance"
| summarize count() by tostring(target_s.alternateId)
| top 10 by count_
상위 10개의 클라이언트 IP 주소
Okta_CL
| summarize count() by client_ipAddress_s
| top 10 by count_
필수 조건
Okta Single Sign-On(Azure Functions 사용)과 통합하려면 다음 사항을 확인합니다.
- Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대해 자세히 알아보려면 설명서를 참조하세요.
- OKTA API 토큰: Okta API 토큰이 필요합니다. OKTA 시스템 로그 API에 대한 자세한 내용은 설명서를 참조하세요.
공급업체 설치 지침
참고 항목
이 커넥터는 Azure Functions를 사용하여 OKTA SSO에 연결하여 해당 로그를 Microsoft Sentinel로 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.
참고 항목
이 커넥터는 업데이트되었습니다. 이전에 이전 버전을 배포했고 업데이트하려는 경우 이 버전을 다시 배포하기 전에 기존 Okta Azure 함수를 삭제하세요.
(선택 단계) Azure Key Vault에 작업 영역과 API 권한 부여 키 또는 토큰을 안전하게 저장합니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
1단계 - OKTA SSO API에 대한 구성 단계
다음 지침에 따라 API 토큰을 만듭니다.
참고 - Okta에서 적용하는 속도 제한의 제한 사항에 대한 자세한 내용은 설명서를 참조하세요.
2단계 - 다음 두 가지 배포 옵션 중 하나를 선택하여 커넥터 및 관련 Azure 함수 배포
중요: Okta SSO 커넥터를 배포하기 전에 작업 영역 ID와 작업 영역 기본 키(다음에서 복사 가능)는 물론 Okta SSO API 권한 부여 토큰도 즉시 사용할 수 있도록 준비합니다.
다음 단계
자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.