Okta 系統記錄數據連接器可將 Okta 系統記錄 API 的稽核和事件記錄擷取至 Microsoft Sentinel。 數據連接器是以 Microsoft Sentinel 無程式代碼連接器平台為基礎,使用 Okta 系統日誌 API 來擷取事件。 連接器支援以 DCR 為基礎的 擷取時間轉換 ,將收到的安全性事件資料剖析成自定義數據行,讓查詢不需要再次剖析它,進而產生更好的效能。
數據表屬性
| 屬性 |
價值觀 |
|
資源類型 |
- |
|
類別 |
安全 |
|
解決方案 |
SecurityInsights |
|
基本記錄 |
是的 |
|
資料引入時進行的轉換 |
否 |
|
範例查詢 |
是的 |
欄位
| 資料行 |
類型 |
說明 |
| ActingAppName |
字符串 |
起始動作的應用程式名稱。 |
| 演出應用類型 |
字符串 |
起始動作的應用程式類型(例如 Browser、API 用戶端)。 |
| 演員詳細資料條目 |
動態的 |
如果有的話,執行動作動作的動作項目詳細資訊。 |
| 顯示名稱 |
字符串 |
執行動作者的顯示名稱。 |
| ActorSessionId (演員會話識別碼) |
字符串 |
與執行動作的角色相關聯的會話標識碼。 |
| ActorUserId |
字符串 |
如果適用,執行該動作的使用者 ID。 |
| 參與者用戶ID類型 |
字符串 |
動作者的使用者 ID 類型(例如 OktaId)。 |
| ActorUsername |
字符串 |
執行動作的使用者名稱。 |
| 演員用戶名類型 |
字符串 |
執行者的使用者名稱類型(例如 UPN)。 |
| 演員用戶類型 |
字符串 |
角色的類型(例如,一般、系統主體)。 |
| AuthenticationContextAuthenticationProvider |
字符串 |
動作內容中使用的驗證提供者。 |
| 認證上下文步驟 |
整數 (int) |
驗證程序中發生動作的步驟。 |
| AuthenticationContextCredentialProvider |
字符串 |
驗證程式期間所使用的認證提供者。 |
| 身份驗證上下文介面 |
字符串 |
在驗證程式期間使用的介面(例如 Web、行動裝置)。 |
| AuthenticationContextIssuerId |
字符串 |
與驗證程式相關的簽發者標識碼。 |
| 驗證上下文發行者類型 |
字符串 |
驗證程式所涉及的簽發者類型。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| 除錯資料 |
動態的 |
與事件相關的其他偵錯數據。 |
| DvcAction |
字符串 |
裝置動作的結果(例如 Allow、Deny、Partial)。 |
| 事件訊息 |
字符串 |
與事件相關聯的描述性訊息。 |
| 事件原始結果詳細資訊 |
字符串 |
事件結果的原始詳細資料。 |
| 事件原始類型 (EventOriginalType) |
字符串 |
轉換前事件的原始類型。 |
| EventOriginalUid(事件原始唯一識別碼) |
字符串 |
原始事件的唯一標識碼。 |
| 活動結果 |
字符串 |
事件的高階結果(例如成功、失敗)。 |
| EventSeverity |
字符串 |
事件的嚴重性層級(例如,資訊性、嚴重)。 |
| HTTP用戶代理 |
字符串 |
起始事件之客戶端的原始使用者代理程式(User-Agent)字串。 |
| _IsBillable // 是否可計費 |
字符串 |
指定輸入數據是否會產生費用。 當 _IsBillable 為 false 時,此操作不會向您的 Azure 帳戶收費 |
| 遺留事件類型 |
字符串 |
如果適用的話,事件的舊版類型標識符。 |
| 登入方法 |
字符串 |
用於登入的方法(例如密碼、令牌)。 |
| 原始演員備選ID |
字符串 |
原始事件數據中行為者的替代識別碼。 |
| 原始用戶端設備 |
字符串 |
起始事件的用戶端裝置類型(例如 電腦)。 |
| 原始結果 |
字符串 |
原始事件的原始結果結果。 |
| OriginalSeverity |
字符串 |
原始事件的原始嚴重性層級。 |
| OriginalTarget |
動態的 |
事件中涉及的最初目標。 |
| 原始用戶識別碼 |
字符串 |
事件數據中的原始使用者識別碼。 |
| 原始使用者類型 |
字符串 |
原始事件數據中的用戶類型。 |
| 請求 |
動態的 |
與事件相關聯的要求詳情。 |
| 安全上下文作為數字 |
整數 (int) |
在安全性背景下的自治系統(AS)號碼。 |
| SecurityContextAsOrg |
字符串 |
在安全性背景中與 AS 號碼相關聯的組織。 |
| 安全上下文域 |
字符串 |
安全性內容所涉及的網域。 |
| SecurityContextIsProxy |
布爾 (bool) |
指出代理是否用於安全上下文。 |
| SourceSystem |
字符串 |
事件被收集時所使用的代理程式類型。 例如,OpsManager 適用於 Windows 代理程式,可以直接連線或使用 Operations Manager;Linux 適用於所有 Linux 代理程式;Azure 則適用於 Azure 診斷。 |
| SrcDeviceType |
字符串 |
來源裝置的類型(例如計算機)。 |
| SrcDvcId |
字符串 |
來源裝置的唯一標識碼。 |
| SrcDvcIdType |
字符串 |
來源裝置標識碼的類型(例如OktaId)。 |
| SrcDvcOs |
字符串 |
來源裝置的作系統。 |
| SrcGeoCity |
字符串 |
來源裝置的所在地城市。 |
| SrcGeoCountry |
字符串 |
來源裝置地理位置的國家/地區。 |
| SrcGeoLatitude |
真實 |
來源裝置地理位置的緯度。 |
| SrcGeoLongtitude |
真實 |
來源裝置地理位置的經度。 |
| SrcGeoPostalCode |
字符串 |
來源裝置地理位置的郵遞區號。 |
| SrcGeoRegion |
字符串 |
來源裝置地理位置的區域/狀態。 |
| SrcIpAddr |
字符串 |
來源裝置的 IP 位址。 |
| SrcIsp |
字符串 |
來源裝置的因特網服務提供者(ISP)。 |
| SrcZone |
字符串 |
來源裝置的網路區域。 |
| 租戶識別碼 (TenantId) |
字符串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
產生事件的時間。 |
| TransactionDetail |
動態的 |
與事件相關聯的交易詳細數據。 |
| TransactionId |
字符串 |
交易的唯一標識碼。 |
| 交易類型 |
字符串 |
與事件相關聯的交易類型。 |
| 類型 |
字符串 |
資料表的名稱 |
| 版本 |
字符串 |
事件格式或架構的版本。 |