Okta 로그

Panther는 Okta에서 로그를 직접 가져오는 것을 지원합니다

개요

Panther는 다음을 쿼리하여 Okta 이벤트를 가져올 수 있습니다 Okta System Log API. Panther는 1분마다 System Log API를 쿼리합니다. Panther가 API에 액세스하려면 새 API 토큰을 생성하거나 기존 토큰을 사용해야 합니다.

다음도 활성화할 수 있습니다 Okta 사용자 및 디바이스 프로필.

동영상 안내

Okta 로그를 Panther에 온보딩하는 방법

1단계: 새 Okta API 토큰 생성

System Logs를 쿼리할 권한이 있는 Okta API 토큰을 생성하려면 다음 유형의 Okta 관리자 중 하나로 로그인해야 합니다: 슈퍼 관리자, 조직 관리자, 또는 읽기 전용 관리자.

다음을 사용하는 것을 권장합니다 읽기 전용 관리자 역할, 최소 권한을 위해.

참조하세요 Okta의 문서 관리자 역할 관리에 대한 자세한 내용은 참조하세요.

Okta 관리자로 로그인합니다.
Okta Admin Console에서 다음으로 이동합니다 Security > API.
다음으로 이동합니다 Tokens 탭을 클릭합니다.
을 클릭한 다음 Create token.
토큰에 대한 설명이 포함된 이름을 입력합니다. 예: Panther API 토큰.
다음을 복사합니다 토큰 값 그리고 안전한 위치에 저장합니다. 다음 단계에서 필요합니다.
- 참고: Okta는 이 값을 다시 표시하지 않습니다.

2단계: Panther에서 새 Okta 소스 생성

Panther Console의 왼쪽 탐색 모음에서 구성하세요. > 로그 소스.
을 클릭한 다음 새로 만들기 를 클릭합니다.
“Okta”를 검색한 다음 해당 타일을 클릭합니다.
슬라이드아웃 패널에서 다음을 클릭합니다 설정 시작.
다음 구성 페이지에서 다음 필드를 입력합니다:
- 이름: 소스에 대한 설명이 포함된 이름을 입력합니다. 예: 내 Okta 로그.
- Okta 하위 도메인: Okta 조직 도메인의 하위 도메인을 입력합니다. 다음을 참조할 수 있습니다 Okta 문서 에서 Okta org 도메인에 대해 자세히 확인할 수 있습니다.
- Okta 도메인: Okta 도메인 드롭다운에서 적절한 도메인 이름을 선택합니다.
- API 토큰: 이전 단계에서 생성한 토큰 값을 입력합니다.
을 클릭한 다음 설정.
다음 Enrichment 페이지에서 다음을 활성화하려면 Okta Identity Profiles, 오른쪽의 User Profiles 및/또는 Device Profiles, 토글을 클릭하여 켜기.
- 참고 Okta 디바이스 프로필 활성화를 위한 사전 요구 사항.
- 각 토글이 다음으로 설정된 경우 켜기, 다음을 설정합니다 새로 고침 주기(분). 이는 Panther가 Okta에 저장된 내용으로 프로필 데이터를 업데이트하는 주기를 나타냅니다.
을 클릭한 다음 설정. 성공 화면으로 이동합니다:\
- 선택적으로 하나 이상의 디택션 Packs.
- 그 이벤트가 처리되지 않을 때 알러트 트리거 설정의 기본값은 예. 이 옵션은 활성화된 상태로 두는 것을 권장합니다. 일정 시간이 지나 로그 소스에서 데이터가 더 이상 유입되지 않으면 알림을 받게 되기 때문입니다. 기간은 구성할 수 있으며 기본값은 24시간입니다.\

Panther에서 관리하는 탐지 규칙

참조하세요 Panther에서 관리하는 의 Okta용 룰 panther-analysis GitHub 저장소에 있습니다. 여기에는 다음이 포함됩니다:

Okta 관리자 역할 할당됨 - 사용자에게 Okta에서 관리 권한이 부여되었습니다
Okta API 키 생성됨 - 사용자가 Okta에서 API 키를 생성했습니다
Okta API 키 취소됨 - 사용자가 Okta에서 API 키를 취소했습니다
지리적으로 비현실적인 Okta 로그인 - 사용자가 매우 멀리 떨어진 두 지리적 위치에서 연속으로 로그인했습니다
Okta MFA 전역 비활성화 - 관리자가 Okta 시스템 전체 MFA를 비활성화했습니다
Okta 지원 자격 증명 재설정 - Okta 지원팀이 사용자의 비밀번호 또는 MFA를 재설정했습니다
Okta 지원 액세스 허용됨 - Okta 지원 액세스가 허용되었습니다

사용자 지정 디택션

의심스러운 동작 보고 예시

사용자가 자신의 계정에서 의심스러운 동작을 보고했습니다:

def 룰(event):
    if event.get('eventtype') == 'user.account.report_suspicious_activity_by_enduser':
        return True

사용자 지정 디택션 패턴

다음은 몇 가지 일반적인 함수와 예시 deep_get() 입니다. Okta 로그에 대한 사용자 지정 디택션을 작성할 때 사용됩니다. 다양한 이벤트 유형에 대한 자세한 내용은 Okta 문서.

#Okta에는 여기에 나열된 많은 이벤트 유형이 있습니다. 이러한 eventtypes 중 하나를 기반으로 디택션을 시작할 수 있습니다
#https://developer.okta.com/docs/reference/api/event-types/
event.get('eventtype')

#도시, 주, 위도, 경도 등에 액세스하려면 
deep_get(event, 'client', 'geographicalContext', 'city')
deep_get(event, 'client', 'geographicalContext', 'state')
deep_get(event, 'client', 'geographicalContext', 'country')
deep_get(event, 'client', 'geographicalContext', 'geolocation', 'lon')
deep_get(event, 'client', 'geographicalContext', 'geolocation', 'lat')

#이벤트 소스에 대한 세부 정보
deep_get(event, 'client' 'device')
deep_get(event, 'client', 'ipAddress')
deep_get(event, 'client', 'userAgent')


deep_get(event, 'actor', 'alternateId')
deep_get(event, 'actor', 'displayName')

## Okta와 함께 유용할 수 있는 전역 헬퍼

# panther_base_helpers 내
def okta_알러트_context(event: dict):
    """Okta 알러트 자동화를 위한 공통 컨텍스트를 반환합니다"""
    return {
        "ips": event.get("p_any_ip_addresses", []),
        "actor": event.get("actor", ""),
        "target": event.get("target", ""),
        "client": event.get("client", ""),
    }
    
# panther_base_helpers 내
def is_ip_in_network(ip_addr, networks):
    """주어진 IP가 IP 범위 목록 내에 있는지 확인합니다"""
    return any(ip_address(ip_addr) in ip_network(network) for network in networks)

지원되는 로그 유형

Okta.SystemLog

Okta System Log는 플랫폼 활동을 이해하고 문제를 진단하는 데 사용할 수 있는 감사 추적을 제공하기 위해 조직과 관련된 시스템 이벤트를 기록합니다.

참조: System Log API에 대한 Okta 문서.

schema: Okta.SystemLog
description: |
    Okta System Log는 플랫폼 활동을 이해하고 문제를 진단하는 데 사용할 수 있는 감사 추적을 제공하기 위해 조직과 관련된 시스템 이벤트를 기록합니다.
referenceURL: https://developer.okta.com/docs/reference/api/system-log/
fields:
    - name: uuid
      required: true
      description: 개별 이벤트의 고유 식별자
      type: string
    - name: published
      required: true
      description: 이벤트가 게시된 타임스탬프
      type: timestamp
      timeFormat: rfc3339
      isEventTime: true
    - name: eventType
      required: true
      description: 게시된 이벤트의 유형
      type: string
    - 이름: version
      required: true
      description: 버전 관리 표시자
      type: string
    - name: severity
      required: true
      description: '이벤트의 심각도를 나타냅니다: DEBUG, INFO, WARN, ERROR'
      type: string
    - name: legacyEventType
      description: 연결된 Events API Action objectType 속성 값
      type: string
    - name: displayMessage
      description: 이벤트의 표시 메시지
      type: string
    - name: actor
      description: 작업을 수행한 엔터티를 설명합니다
      type: object
      fields:
        - name: id
          required: true
          description: actor의 ID
          type: string
        - name: type
          required: true
          description: actor의 유형
          type: string
        - name: alternateId
          description: actor의 대체 ID
          type: string
          indicators:
            - 이메일
        - name: displayName
          description: actor의 표시 이름
          type: string
        - 이름: details
          description: actor에 대한 세부 정보
          type: json
        - name: detailEntry
          description: 세부 항목
          type: json
    - name: client
      description: 작업을 요청한 클라이언트
      type: object
      fields:
        - name: id
          description: OAuth 요청의 경우 요청을 수행하는 OAuth 클라이언트의 ID입니다. SSWS 토큰 요청의 경우 요청을 수행하는 에이전트의 ID입니다.
          type: string
        - 이름: userAgent
          description: actor가 작업을 수행하는 데 사용한 사용자 에이전트
          type: object
          fields:
            - name: browser
              description: 클라이언트가 웹 브라우저인 경우 이 필드는 웹 브라우저의 유형을 식별합니다(예: CHROME, FIREFOX)
              type: string
            - 이름: os
              description: 클라이언트가 실행되는 운영 체제(예: Windows 10)
              type: string
            - name: rawUserAgent
              description: HTTP/1.1 Semantics and Content의 5.5.3절에 따라 형식이 지정된 사용자 에이전트의 원시 문자열 표현입니다. 브라우저와 OS 필드는 모두 이 필드에서 파생될 수 있습니다.
              type: string
        - name: geographicalContext
          description: 클라이언트가 요청을 보낸 물리적 위치
          type: object
          fields:
            - name: geolocation
              description: 지리적 위치 좌표(위도, 경도)를 포함합니다
              type: object
              fields:
                - name: lat
                  description: 위도
                  type: float
                - name: lon
                  description: 경도
                  type: float
            - 이름: city
              description: 사용 가능한 경우 지리적 위치 좌표를 포함하는 영역을 아우르는 도시(예: Seattle, San Francisco)
              type: string
            - 이름: state
              description: 지리적 위치 좌표를 포함하는 영역을 아우르는 주/도 전체 이름(예: Montana, Incheon)
              type: string
            - 이름: 국가
              description: 지리적 위치 좌표를 포함하는 영역을 아우르는 국가 전체 이름(예: France, Uganda)
              type: string
            - name: postalCode
              description: 지리적 위치 좌표를 포함하는 영역을 아우르는 국가 전체 이름(예: France, Uganda)
              type: string
        - 이름: zone
          description: 클라이언트 위치가 매핑되는 Zone의 이름
          type: string
        - name: ipAddress
          description: 클라이언트가 요청을 보낸 IP 주소
          type: string
          indicators:
            - ip
        - name: device
          description: 클라이언트가 사용한 디바이스 유형(예: Computer)
          type: string
    - name: request
      description: 작업을 시작한 요청
      type: object
      fields:
        - name: ipChain
          description: 들어오는 요청이 프록시를 통과하는 경우 해당 프록시의 IP 주소가 여기 (clientIp, proxy1, proxy2, ...) 형식으로 저장됩니다.
          type: array
          element:
            type: object
            fields:
                - name: ip
                  description: IP 주소
                  type: string
                  indicators:
                    - ip
                - name: geographicalContext
                  description: IP 주소의 지리적 컨텍스트
                  type: object
                  fields:
                    - name: geolocation
                      description: 지리적 위치 좌표(위도, 경도)를 포함합니다
                      type: object
                      fields:
                        - name: lat
                          description: 위도
                          type: float
                        - name: lon
                          description: 경도
                          type: float
                    - 이름: city
                      description: 사용 가능한 경우 지리적 위치 좌표를 포함하는 영역을 아우르는 도시(예: Seattle, San Francisco)
                      type: string
                    - 이름: state
                      description: 지리적 위치 좌표를 포함하는 영역을 아우르는 주/도 전체 이름(예: Montana, Incheon)
                      type: string
                    - 이름: 국가
                      description: 지리적 위치 좌표를 포함하는 영역을 아우르는 국가 전체 이름(예: France, Uganda)
                      type: string
                    - name: postalCode
                      description: 지리적 위치 좌표를 포함하는 영역을 아우르는 국가 전체 이름(예: France, Uganda)
                      type: string
                - 이름: version
                  description: IP 버전
                  type: string
                - name: source
                  description: 소스 관련 세부 정보
                  type: string
    - name: outcome
      description: 작업의 결과
      type: object
      fields:
        - name: result
          description: '작업의 결과: SUCCESS, FAILURE, SKIPPED, ALLOW, DENY, CHALLENGE, UNKNOWN'
          type: string
        - 이름: reason
          description: 결과의 이유, 예: INVALID_CREDENTIALS
          type: string
    - 이름: target
      description: 작업의 대상이 0개 이상일 수 있습니다
      type: array
      element:
        type: object
        fields:
            - name: id
              required: true
              description: 대상의 ID
              type: string
            - name: type
              required: true
              description: 대상의 유형
              type: string
            - name: alternateId
              description: 대상의 대체 ID
              type: string
            - name: displayName
              description: 대상의 표시 이름
              type: string
            - 이름: details
              description: 대상에 대한 세부 정보
              type: json
            - name: detailEntry
              description: 세부 항목
              type: json
            - name: changeDetails
              description: 변경 사항에 대한 세부 정보
              type: json
    - name: transaction
      description: 작업의 트랜잭션 세부 정보
      type: object
      fields:
        - name: id
          description: 이 트랜잭션의 고유 식별자입니다.
          type: string
        - name: type
          description: 트랜잭션의 종류를 설명합니다. WEB은 웹 요청을 나타냅니다. JOB은 비동기 작업을 나타냅니다.
          type: string
        - name: detail
          description: 이 트랜잭션의 세부 정보.
          type: json
    - name: debugContext
      description: 작업의 디버그 요청 데이터
      type: object
      fields:
        - name: debugData
          description: 이벤트 유형에 따라 달라지는 기타 정보를 포함하는 동적 필드입니다.
          type: json
    - name: authenticationContext
      description: 작업의 인증 데이터
      type: object
      fields:
        - name: authenticationProvider
          description: 제공된 자격 증명을 사용하여 actor의 신원을 증명하는 시스템
          type: string
        - name: authenticationStep
          설명: 인증 파이프라인에서 0부터 시작하는 단계 번호입니다. 현재는 사용되지 않으며 항상 0으로 설정됩니다.
          유형: int
        - 이름: credentialProvider
          설명: 자격 증명 공급자는 신원과 그에 연결된 자격 증명을 관리하는 소프트웨어 서비스입니다. 자격 증명 공급자가 제공한 자격 증명을 통해 인증이 발생하면, 해당 자격 증명 공급자가 여기에 기록됩니다.
          type: string
        - 이름: credentialType
          설명: 자격 증명에 사용된 기본 기술/방식
          type: string
        - 이름: rootSessionId
          type: string
        - 이름: issuer
          설명: 자격 증명을 생성하고 발급한 특정 소프트웨어 엔터티입니다.
          type: object
          fields:
            - name: id
              설명: 인증 유형에 따라 다릅니다. 인증이 SAML 2.0인 경우, id는 SAML 어설션의 발급자입니다. 소셜 로그인인 경우, id는 토큰의 발급자입니다.
              type: string
            - name: type
              설명: SAML 어설션 또는 토큰의 발급자 및 출처에 관한 정보입니다.
              type: string
        - 이름: externalSessionId
          설명: 행위자의 세션 ID를 나타내는 프록시
          type: string
        - 이름: interface
          설명: 행위자가 인증하는 제3자 사용자 인터페이스(있는 경우)입니다.
          type: string
        - 이름: authenticatorProvider
          설명: '사용 중단됨: 이 필드는 하위 호환성을 위해 유지됩니다.'
          type: string
    - 이름: securityContext
      설명: 작업의 보안 데이터
      type: object
      fields:
        - 이름: asNumber
          설명: 이벤트 요청의 출처가 된 자율 시스템과 관련된 자율 시스템 번호
          type: bigint
        - 이름: asOrg
          설명: 이벤트 요청의 출처가 된 자율 시스템과 관련된 조직
          type: string
        - 이름: isp
          설명: 이벤트 요청을 전송하는 데 사용된 인터넷 서비스 제공업체
          type: string
        - 이름: domain
          설명: 수신 이벤트 요청의 IP 주소와 연결된 도메인 이름
          type: string
          indicators:
            - 도메인
        - 이름: isProxy
          설명: 이벤트의 요청이 알려진 프록시에서 발생한 것인지 여부를 지정합니다
          type: boolean

이전Notion 로그 다음OneLogin 로그

마지막 업데이트 9개월 전

도움이 되었나요?