Соединитель единого входа Okta (с помощью Функции Azure) для Microsoft Sentinel

  • Статья

Соединитель единого входа Okta предоставляет возможность приема журналов аудита и событий из API Okta в Microsoft Sentinel. Соединитель обеспечивает видимость этих типов журналов в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.

Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.

атрибуты Подключение or

Атрибут соединителя Description
Таблицы Log Analytics Okta_CL
Поддержка правил сбора данных В настоящий момент не поддерживается
Поддерживается Корпорация Майкрософт

Примеры запросов

Лучшие 10 активных приложений

Okta_CL 

| mv-expand todynamic(target_s)  

| where target_s.type == "AppInstance"  

| summarize count() by tostring(target_s.alternateId)  

| top 10 by count_

Первые 10 IP-адресов клиента

Okta_CL 

| summarize count() by client_ipAddress_s 

| top 10 by count_

Необходимые компоненты

Чтобы интегрироваться с единым входом Okta (с помощью Функции Azure), убедитесь, что у вас есть:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
  • Маркер API Okta: требуется маркер API Okta. Дополнительные сведения об API системного журнала Okta см. в документации.

Инструкции по установке поставщика

Примечание.

Этот соединитель использует Функции Azure для подключения к единому входу Okta для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.

Примечание.

Этот соединитель был обновлен, если вы ранее развернули более раннюю версию и хотите обновить, удалите существующую функцию Okta Azure перед повторной развертыванием этой версии.

(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.

ШАГ 1. Действия по настройке ДЛЯ API единого входа Okta

Следуйте этим инструкциям , чтобы создать маркер API.

Примечание. Дополнительные сведения об ограничениях ограничения скорости, применяемых Okta, см. в документации.

ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure

ВАЖНО. Перед развертыванием соединителя единого входа Okta укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего кода), а также маркер авторизации API единого входа Okta.

Следующие шаги

Дополнительные сведения см. в связанном решении в Azure Marketplace.