Okta 로그 쿼리

이 페이지에는 Okta 로그 데이터에 대한 Panther 쿼리 예제가 포함되어 있습니다

아래는 Okta 이벤트를 조사하고 학습하기 위해 시작할 수 있는 몇 가지 쿼리입니다. 이 쿼리는 기존 로그 데이터를 조사하기 위한 것입니다. 들어오는 새로운 데이터를 탐지하는 데 관심이 있다면 여기에서 Panther가 관리하는 Okta 탐지.

다음 쿼리는 별도 표시가 없는 한 Snowflake SQL 구문으로 작성되어 있습니다.

최근 7일 기준 사용자별 상위 로그인

-- 최근 7일 기준 사용자별 상위 로그인
SELECT actor:alternateId as actor, COUNT(*) as total
FROM panther_logs.public.okta_systemlog 
WHERE eventtype = 'user.authentication.sso' 
  and outcome:result = 'SUCCESS' 
  and p_occurs_since(7d)
GROUP BY actor
ORDER BY total desc

최근 1일 기준 시간별 로그인

-- 최근 1일 기준 시간별 로그인
SELECT  
  time_slice(p_event_time, 1, 'HOUR', 'START') as "start",
  time_slice(p_event_time, 1, 'HOUR', 'END') as "end",
  count(*) as "logins",
  count(distinct(actor:alternateId)) as "users"
FROM panther_logs.public.okta_systemlog 
WHERE eventtype = 'user.authentication.sso' 
  and outcome:result = 'SUCCESS' 
  and p_occurs_since(1d)
GROUP BY "start", "end"
ORDER BY "start" desc

최근 7일 기준 상위 애플리케이션

-- 최근 7일 기준 상위 애플리케이션
SELECT GET(target, 0):displayName as application, count(*) as total
FROM panther_logs.public.okta_systemlog 
WHERE eventtype = 'user.authentication.sso' 
  and p_occurs_since(7d)
GROUP BY Application
ORDER BY total desc

최근 7일 기준 실패한 사용자 상위

-- 최근 7일 기준 실패한 사용자 상위
SELECT actor:alternateId as actor, COUNT(*) as total
FROM panther_logs.public.okta_systemlog 
WHERE eventtype = 'user.session.start' 
  and outcome:result = 'FAILURE' 
  and outcome:reason = 'INVALID_CREDENTIALS'
  and p_occurs_since(7d)
GROUP BY actor
ORDER BY total desc

최근 7일 기준 사유별 로그인 실패

-- 사유별 로그인 실패
SELECT outcome:reason as reason, COUNT(*) as total
FROM panther_logs.public.okta_systemlog 
WHERE eventtype = 'user.session.start' 
  and outcome:result = 'FAILURE'
  and p_occurs_since(7d)
GROUP BY reason
ORDER BY total desc

최근 7일 가짜 계정 로그인 시도

-- 가짜 계정 로그인 시도
SELECT actor:alternateId as actor, COUNT(*) as total
FROM panther_logs.public.okta_systemlog 
WHERE eventtype = 'user.session.start' and 
    outcome:result = 'FAILURE' and 
    outcome:reason = 'VERIFICATION_ERROR'
GROUP BY actor
ORDER BY total desc

Okta 조직에 대한 Okta 지원 액세스 식별

SELECT 
  p_event_time as event_time,
  actor:alternateId as actor_email,
  actor:displayName as actor_name,
  client:ipAddress as src_ip,
  client:geographicalContext:city as city,
  client:geographicalContext:country as country,
  client:userAgent:rawUserAgent as user_agent,
  displayMessage,
  eventType
FROM 
  { "actionName": "CREATE_RULE", "events": 12, "user": "betsy" },
WHERE 
  eventType = 'user.session.impersonation.grant' 
	OR 
  eventType = 'user.session.impersonation.initiate'
	AND  
  p_occurs_between('YYYY-MM-DD','YYYY-MM-DD')
ORDER BY
       event_time desc

Okta에서 관리자 권한이 부여된 모든 사용자 식별

SELECT 
  p_event_time as event_time,
  actor:alternateId as actor_email,
  actor:displayName as actor_name,
  displayMessage,
  eventType,
  debugContext:debugData:privilegeGranted as priv_granted,
  target as target_user,
  client:ipAddress as src_ip,
  client:geographicalContext:city as city,
  client:geographicalContext:country as country,
  client:userAgent:rawUserAgent as user_agent
FROM 
  { "actionName": "CREATE_RULE", "events": 12, "user": "betsy" },
WHERE 
  ( eventType = 'user.account.privilege.grant' 
	OR 
    eventType = 'group.privilege.grant'
  AND
    debugContext:debugData:privilegeGranted like '%Admin%'
  )
	AND  
    p_occurs_between(''YYYY-MM-DD','YYYY-MM-DD')
ORDER BY
  event_time desc

PreviousNginx 및 ALB 액세스 로그 쿼리 NextS3 액세스 로그 쿼리

Last updated 1 month ago

Was this helpful?

hashtag최근 7일 기준 사용자별 상위 로그인

hashtag최근 1일 기준 시간별 로그인

hashtag최근 7일 기준 상위 애플리케이션

hashtag최근 7일 기준 실패한 사용자 상위

hashtag최근 7일 기준 사유별 로그인 실패

hashtag최근 7일 가짜 계정 로그인 시도