Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Okta System Logs-dataanslutningsappen ger möjlighet att mata in gransknings- och händelseloggar från Okta Sysem-logg-API:et till Microsoft Sentinel. Dataanslutningsappen bygger på Microsoft Sentinel Codeless Connector Platform och använder Okta System Log API för att hämta händelserna. Anslutningsappen stöder DCR-baserade inmatningstidtransformeringar som parsar mottagna säkerhetshändelsedata i anpassade kolumner så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.
Attributer för tabeller
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Intagstidsförvandling | Nej |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AgereAppNamn | snöre | Namnet på programmet som initierar åtgärden. |
| Typ av agerande app | snöre | Typ av program som initierar åtgärden (t.ex. webbläsare, API-klient). |
| SkådespelareDetaljinlägg | dynamisk | Detaljerad information om aktören som utför åtgärden, om den är tillgänglig. |
| Skådespelarvisningsnamn | snöre | Visningsnamn för aktören som utför handlingen. |
| SessionId för aktör | snöre | Sessions-ID:t som är associerat med aktören som utför åtgärden. |
| ActorUserId | snöre | Användar-ID för aktören som utför åtgärden, om tillämpligt. |
| AnvändarID-typ för Aktör | snöre | Typ av användar-ID för aktören (t.ex. OktaId). |
| ActorUsername | snöre | Användarnamnet för aktören som utför åtgärden. |
| Användarnamnstyp för aktör | snöre | Typ av användarnamn för aktören (t.ex. UPN). |
| Användartyp för aktör | snöre | Typen av aktör (t.ex. Regular, System Principal). |
| AuthenticationContextAutentiseringsleverantör | snöre | Autentiseringsprovidern som används i kontexten för åtgärden. |
| AutentiseringskontextAutentiseringssteg | Int | Steget i autentiseringsprocessen när åtgärden inträffade. |
| Autentiseringskontextcertifikatleverantör | snöre | Providern för autentiseringsuppgifter som användes under autentiseringsprocessen. |
| AuthenticationContextInterface | snöre | Gränssnittet som används under autentiseringsprocessen (t.ex. webben, mobilt). |
| AuthenticationContextIssuerId | snöre | ID:t för utfärdaren som ingår i autentiseringsprocessen. |
| AuthenticationContextIssuerType (Typ av utfärdare av autentiseringskontext) | snöre | Typen av utfärdare som ingår i autentiseringsprocessen. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| Felsökningsdata | dynamisk | Ytterligare felsökningsdata relaterade till händelsen. |
| DvcAction | snöre | Resultatet av enhetsåtgärden (t.ex. Tillåt, Neka, Partiell). |
| Händelsemeddelande | snöre | Ett beskrivande meddelande som är associerat med händelsen. |
| HändelseUrsprungligaResultatDetaljer | snöre | Detaljer om det ursprungliga resultatet av händelsen. |
| EvenemangOriginalTyp | snöre | Den ursprungliga typen av händelse före transformering. |
| EventOriginalUid | snöre | Den unika identifieraren för den ursprungliga händelsen. |
| Evenemangsresultat | snöre | Resultatet på hög nivå av händelsen (t.ex. Framgång, Misslyckande). |
| EventSeverity | snöre | Allvarlighetsgraden för händelsen (t.ex. Informational, Hög). |
| HTTP-användaragent | snöre | Den råa användaragentsträngen för klienten som initierar händelsen. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| LegacyEventTyp | snöre | Den äldre typidentifieraren för händelsen, om tillämpligt. |
| Inloggningsmetod | snöre | Den metod som används för att logga in (t.ex. lösenord, token). |
| OriginalActorAlternateId | snöre | Det alternativa ID:t för aktören i de ursprungliga händelsedata. |
| OriginalClientDevice | snöre | Typen av klientenhet som initierar händelsen (t.ex. dator). |
| UrsprungligtResultatUtfallet | snöre | Det råa resultatet av den ursprungliga händelsen. |
| OriginalSeverity | snöre | Den råa allvarlighetsgraden för den ursprungliga händelsen. |
| OriginalTarget | dynamisk | De ursprungliga mål som ingår i händelsen. |
| UrsprungligtAnvändarId | snöre | Det ursprungliga användar-ID:t i händelsedata. |
| Originalanvändartyp | snöre | Typen av användare i de ursprungliga händelsedata. |
| Begäran | dynamisk | Information om den begäran som är associerad med händelsen. |
| SäkerhetskontextSomNummer | Int | Det autonoma systemets nummer (AS) i säkerhetskontexten. |
| SecurityContextAsOrg | snöre | Den organisation som är associerad med AS-numret i säkerhetskontexten. |
| Säkerhetskontextdomän | snöre | Domänen som ingår i säkerhetskontexten. |
| SecurityContextIsProxy | Bool | Anger om en proxy används i säkerhetskontexten. |
| Källsystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| SrcDeviceType | snöre | Typ av källenhet (t.ex. Dator). |
| SrcDvcId | snöre | Den unika identifieraren för källenheten. |
| SrcDvcIdType | snöre | Typ av källenhets-ID (t.ex. OktaId). |
| SrcDvcOs | snöre | Källenhetens operativsystem. |
| SrcGeoCity | snöre | Staden där den geografiska platsen för källenheten är. |
| SrcGeoCountry | snöre | Landet för källenhetens geografiska plats. |
| SrcGeoLatitude | verklig / äkta | Latitud för källenhetens geografiska plats. |
| SrcGeoLongitud | verklig / äkta | Longitud för källenhetens geografiska position. |
| SrcGeoPostalCode | snöre | Postnumret för källenhetens geografiska plats. |
| KällaGeoRegion | snöre | Region eller delstat för källenhetens geografiska plats. |
| SrcIpAddr | snöre | Källenhetens IP-adress. |
| SrcIsp | snöre | Internetleverantören (ISP) för källenheten. |
| SrcZone | snöre | Källenhetens nätverkszon. |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| Tidpunkt för generering | tidpunkt | Den tid då händelsen genererades. |
| Transaktionsdetalj | dynamisk | Information om transaktionen som är associerad med händelsen. |
| TransactionId | snöre | Den unika identifieraren för transaktionen. |
| Transaktionstyp | snöre | Typen av transaktion som är associerad med händelsen. |
| Typ | snöre | Tabellens namn |
| Utgåva | snöre | Versionen av händelseformatet eller schemat. |