Okta 로그
Panther는 Okta에서 로그를 직접 가져오는 것을 지원합니다
개요
Panther는 다음을 쿼리하여 Okta 이벤트를 가져올 수 있습니다 Okta 시스템 로그 API. Panther는 System Log API를 1분마다 쿼리합니다. Panther가 API에 액세스하려면 새 API 토큰을 생성하거나 기존 토큰을 사용해야 합니다.
다음도 활성화할 수 있습니다 Okta 사용자 및 디바이스 프로필.
동영상 안내
Okta 로그를 Panther에 온보딩하는 방법
1단계: 새 Okta API 토큰 생성
Okta 관리자 계정으로 로그인합니다.
Okta 관리 콘솔에서 다음으로 이동합니다 보안 > API.
로 이동하십시오 토큰 탭을 클릭하십시오.
클릭 토큰 생성.
토큰에 대한 설명 이름을 입력하세요(예:)
Panther API 토큰.다음을 복사하세요 토큰 값 을 안전한 장소에 저장하세요. 다음 단계에서 필요합니다.
참고: Okta는 이 값을 다시 표시하지 않습니다.
2단계: Panther에서 새 Okta 소스 생성
Panther 콘솔의 왼쪽 탐색 바에서 클릭하십시오 구성 > 로그 소스.
클릭 새로 만들기.
“Okta”를 검색한 다음 타일을 클릭하세요.
슬라이드 아웃 패널에서, 클릭하세요 설정 시작.
페이지에서 구성 페이지에서 다음 필드를 작성하세요:
이름: 소스에 대한 설명 이름을 입력하세요(예:)
내 Okta 로그.Okta 하위도메인: Okta 조직 도메인의 하위도메인을 입력하세요. 자세한 내용은 Okta 문서 에서 Okta 조직 도메인에 대해 더 알아볼 수 있습니다.
Okta 도메인: Okta 도메인 드롭다운에서 적절한 도메인 이름을 선택하세요.
API 토큰: 이전 단계에서 생성한 토큰 값을 입력하세요.
클릭 설정.
페이지에서 강화 페이지에서, 활성화하려면 Okta Identity Profiles, 오른쪽의 사용자 프로필 및/또는 디바이스 프로필, 토글을 클릭하세요
켜기.각 토글에 대해
켜기로 설정된 경우, 새로고침 기간(분)을 설정하세요. 이는 Panther가 Okta에 저장된 프로필 데이터를 업데이트하는 주기를 나타냅니다.
클릭 설정. 성공 화면으로 이동합니다:\
선택적으로 하나 이상의 탐지 팩(Detection Packs).
설정은 이벤트가 처리되지 않을 때 경고 트리거 기본값은 예. 데이터가 일정 기간 이후 로그 소스에서 흐르지 않으면 알림을 받으므로 이 설정을 활성화된 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\
Panther 관리 탐지
참조 Panther 관리 에 대한 Okta 규칙 panther-analysis GitHub 리포지토리에 있습니다가 포함됩니다:
Okta 관리자 역할 할당됨 - 사용자가 Okta에서 관리자 권한을 부여받았습니다
Okta API 키 생성됨 - 사용자가 Okta에서 API 키를 생성했습니다
Okta API 키 취소됨 - 사용자가 Okta에서 API 키를 취소했습니다
지리적으로 불가능한 Okta 로그인 - 사용자가 매우 멀리 떨어진 두 지리적 위치에서 연속으로 로그인을 시도했습니다
Okta MFA 전역 비활성화됨 - 관리자가 Okta 시스템 전체의 MFA를 비활성화했습니다
Okta 지원 자격 증명 재설정 - Okta 지원이 사용자의 비밀번호 또는 MFA를 재설정했습니다
Okta 지원 접근 권한 부여됨 - Okta 지원 접근 권한이 부여되었습니다
사용자 정의 탐지
보고된 의심스러운 행동 예시
사용자가 자신의 계정에서 의심스러운 행동을 보고했습니다:
사용자 정의 탐지 패턴
아래는 일반적인 함수 및 예제입니다 deep_get() Okta 로그에 대한 사용자 정의 탐지를 작성할 때 사용합니다. 다양한 이벤트 유형에 대한 자세한 정보는 Okta 문서.
지원되는 로그 유형
Okta.SystemLog
Okta 시스템 로그는 플랫폼 활동을 이해하고 문제를 진단하는 데 사용할 수 있는 감사 추적을 제공하기 위해 조직과 관련된 시스템 이벤트를 기록합니다.
Last updated
Was this helpful?