Okta 系统日志数据连接器提供将审核和事件日志从 Okta Sysem 日志 API 引入 Microsoft Sentinel 的功能。 数据连接器基于 Microsoft Sentinel 无代码连接器平台构建,并使用 Okta 系统日志 API 提取事件。 连接器支持基于 DCR 的 引入时间转换 ,这些转换将收到的安全事件数据分析为自定义列,以便查询不需要再次分析它,从而提供更好的性能。
数据表属性
| 特征 |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
是的 |
列
| 列 |
类型 |
DESCRIPTION |
| ActingAppName |
字符串 |
发起操作的应用程序名称。 |
| ActingAppType |
字符串 |
启动作的应用程序的类型(例如浏览器、API 客户端)。 |
| ActorDetailEntry |
动态的 |
有关执行该动作的演员的详细信息(如果可用)。 |
| 演员显示名称 |
字符串 |
执行操作的操作者的显示名称。 |
| ActorSessionId |
字符串 |
与执行操作的操作者关联的会话 ID。 |
| ActorUserId |
字符串 |
执行操作的参与者的用户 ID(如果适用)。 |
| 演员用户ID类型 |
字符串 |
行为主体的用户 ID 类型(例如 OktaId)。 |
| 演员用户名 |
字符串 |
执行操作的行为者的用户名。 |
| 演员用户名类型 (ActorUsernameType) |
字符串 |
操作者的用户名类型(例如 UPN)。 |
| 演员用户类型 |
字符串 |
操作者的类型(例如普通用户、系统主体)。 |
| AuthenticationContextAuthenticationProvider |
字符串 |
在操作上下文中使用的身份验证提供程序。 |
| 认证上下文认证步骤 |
整数 (int) |
发生操作时身份验证过程中的步骤。 |
| AuthenticationContextCredentialProvider |
字符串 |
身份验证过程中使用的凭据提供程序。 |
| 身份验证上下文接口(AuthenticationContextInterface) |
字符串 |
身份验证过程中使用的接口(例如 Web、移动)。 |
| AuthenticationContextIssuerId (身份验证上下文发布者 ID) |
字符串 |
身份验证过程中涉及的颁发者的 ID。 |
| 认证上下文发布者类型 |
字符串 |
身份验证过程中涉及的颁发者的类型。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| DebugData |
动态的 |
与事件相关的其他调试数据。 |
| DvcAction |
字符串 |
设备操作的结果(例如允许、拒绝、部分)。 |
| 事件信息 |
字符串 |
与事件关联的描述性消息。 |
| 事件原始结果详情 |
字符串 |
事件结果的原始结果详细信息。 |
| 事件原始类型 |
字符串 |
转换前事件的原始类型。 |
| EventOriginalUid |
字符串 |
原始事件的唯一标识符。 |
| 事件结果 |
字符串 |
事件的高级结果(例如成功、失败)。 |
| EventSeverity |
字符串 |
事件的严重性级别(例如信息、高)。 |
| HTTP用户代理 (HttpUserAgent) |
字符串 |
发起事件的客户端的原始用户代理字符串。 |
| _是否计费 |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 遗留事件类型 |
字符串 |
事件的旧类型标识符(如果适用)。 |
| 登录方法 |
字符串 |
用于登录的方法(例如密码、令牌)。 |
| 原始演员替代ID |
字符串 |
原始事件数据中参与者的替代 ID。 |
| 原始客户端设备 |
字符串 |
启动事件的客户端设备类型(例如计算机)。 |
| 原始结果结果 |
字符串 |
原始事件的原始结果。 |
| OriginalSeverity |
字符串 |
原始事件的原始严重性级别。 |
| 原始目标 |
动态的 |
事件中涉及的原始目标。 |
| 原始用户ID (OriginalUserId) |
字符串 |
事件数据中的原始用户 ID。 |
| 原始用户类型 |
字符串 |
原始事件数据中的用户类型。 |
| 请求 |
动态的 |
与事件关联的请求的详细信息。 |
| 安全上下文编号 |
整数 (int) |
安全性上下文中的自治系统 (AS) 编号。 |
| SecurityContextAsOrg |
字符串 |
与安全性上下文中 AS 编号关联的组织。 |
| 安全上下文域 |
字符串 |
安全性上下文中涉及的域。 |
| SecurityContextIsProxy |
布尔 |
指示代理是否在安全上下文中使用。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcDeviceType |
字符串 |
源设备的类型(例如计算机)。 |
| SrcDvcId |
字符串 |
源设备的唯一标识符。 |
| SrcDvcIdType |
字符串 |
源设备 ID 的类型(例如 OktaId)。 |
| SrcDvcOs |
字符串 |
源设备的操作系统。 |
| SrcGeoCity |
字符串 |
源设备所在地的城市。 |
| SrcGeoCountry |
字符串 |
源设备所在国家的地理位置。 |
| SrcGeoLatitude |
真实 |
源设备地理位置的纬度。 |
| SrcGeoLongtitude |
真实 |
源设备地理位置的经度。 |
| SrcGeoPostalCode |
字符串 |
源设备的地理位置的邮政编码。 |
| SrcGeoRegion |
字符串 |
源设备地理位置所在的地区或州。 |
| SrcIpAddr |
字符串 |
源设备的 IP 地址。 |
| SrcIsp |
字符串 |
源设备的 Internet 服务提供商 (ISP)。 |
| SrcZone |
字符串 |
源设备的网络区域。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
生成事件的时间。 |
| 交易详情 |
动态的 |
有关与事件关联的交易的详细信息。 |
| TransactionId |
字符串 |
交易的唯一标识符。 |
| 交易类型 |
字符串 |
与事件关联的事务的类型。 |
| 类型 |
字符串 |
表的名称 |
| 版本 |
字符串 |
事件格式或架构的版本。 |