适用于 Microsoft Sentinel 的 Okta 单一登录连接器(使用 Azure Functions)
Okta 单一登录 (SSO) 连接器可将审核和事件日志从 Okta API 引入 Microsoft Sentinel。 该连接器支持在 Microsoft Sentinel 中查看这些日志类型,以便查看仪表板、创建自定义警报以及改进监视和调查功能。
连接器属性
| 连接器属性 | 说明 |
|---|---|
| Log Analytics 表 | Okta_CL |
| 数据收集规则支持 | 目前不支持 |
| 支持的服务 | Microsoft Corporation |
查询示例
前 10 个活动应用程序
Okta_CL
| mv-expand todynamic(target_s)
| where target_s.type == "AppInstance"
| summarize count() by tostring(target_s.alternateId)
| top 10 by count_
前 10 个客户端 IP 地址
Okta_CL
| summarize count() by client_ipAddress_s
| top 10 by count_
先决条件
若要与 Okta 单一登录集成(使用 Azure 函数),请确保拥有:
- Microsoft.Web/sites 权限:必须对 Azure Functions 拥有读写权限才能创建函数应用。 请参阅文档以详细了解 Azure Functions。
- Okta API 令牌:需要 Okta API 令牌。 请参阅文档,详细了解 Okta 系统日志 API。
供应商安装说明
注意
此连接器使用 Azure Functions 连接到 Okta SSO,以将其日志拉取到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页。
注意
此连接器已更新。如果你之前部署过更低的版本并且想要更新,请在重新部署此版本之前删除现有的 Okta Azure 函数。
(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure Key Vault 中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。
步骤 1 - Okta SSO API 的配置步骤
按照这些说明创建 API 令牌。
注意:有关 Okta 强制实施的速率限制的详细信息,请参阅本文档。
步骤 2:从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数
重要提示:部署 Okta SSO 连接器前,请准备好工作区 ID 和工作区主密钥(可从下面复制)以及 Okta SSO API 授权令牌。