你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Okta 系统日志数据连接器提供将审核和事件日志从 Okta Sysem 日志 API 引入 Microsoft Sentinel 的功能。 数据连接器基于 Microsoft Sentinel 无代码连接器平台构建,并使用 Okta 系统日志 API 提取事件。 连接器支持基于 DCR 的 引入时间转换 ,这些转换将收到的安全事件数据分析为自定义列,以便查询不需要再次分析它,从而提供更好的性能。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | 是的 |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| ActingAppName | 字符串 | 发起操作的应用程序名称。 |
| ActingAppType | 字符串 | 启动作的应用程序的类型(例如浏览器、API 客户端)。 |
| ActorDetailEntry | 动态的 | 有关执行该动作的演员的详细信息(如果可用)。 |
| ActorDisplayName | 字符串 | 执行操作的操作者的显示名称。 |
| ActorSessionId | 字符串 | 与执行操作的操作者关联的会话 ID。 |
| ActorUserId | 字符串 | 执行操作的参与者的用户 ID(如果适用)。 |
| 演员用户ID类型 | 字符串 | 行为主体的用户 ID 类型(例如 OktaId)。 |
| 演员用户名 | 字符串 | 执行操作的行为者的用户名。 |
| 演员用户名类型 (ActorUsernameType) | 字符串 | 操作者的用户名类型(例如 UPN)。 |
| 演员用户类型 | 字符串 | 操作者的类型(例如普通用户、系统主体)。 |
| AuthenticationContextAuthenticationProvider | 字符串 | 在操作上下文中使用的身份验证提供程序。 |
| AuthenticationContextAuthenticationStep | 整数 (int) | 发生操作时身份验证过程中的步骤。 |
| AuthenticationContextCredentialProvider | 字符串 | 身份验证过程中使用的凭据提供程序。 |
| AuthenticationContextInterface | 字符串 | 身份验证过程中使用的接口(例如 Web、移动)。 |
| AuthenticationContextIssuerId | 字符串 | 身份验证过程中涉及的颁发者的 ID。 |
| AuthenticationContextIssuerType | 字符串 | 身份验证过程中涉及的颁发者的类型。 |
| _BilledSize(账单大小) | 实数 | 记录大小(字节) |
| DebugData | 动态的 | 与事件相关的其他调试数据。 |
| DvcAction | 字符串 | 设备操作的结果(例如允许、拒绝、部分)。 |
| EventMessage | 字符串 | 与事件关联的描述性消息。 |
| 事件原始结果详情 | 字符串 | 事件结果的原始结果详细信息。 |
| 事件原始类型 | 字符串 | 转换前事件的原始类型。 |
| EventOriginalUid | 字符串 | 原始事件的唯一标识符。 |
| EventResult | 字符串 | 事件的高级结果(例如成功、失败)。 |
| EventSeverity | 字符串 | 事件的严重性级别(例如信息、高)。 |
| HTTP用户代理 (HttpUserAgent) | 字符串 | 发起事件的客户端的原始用户代理字符串。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LegacyEventType | 字符串 | 事件的旧类型标识符(如果适用)。 |
| 登录方法 | 字符串 | 用于登录的方法(例如密码、令牌)。 |
| OriginalActorAlternateId | 字符串 | 原始事件数据中参与者的替代 ID。 |
| 原始客户端设备 | 字符串 | 启动事件的客户端设备类型(例如计算机)。 |
| OriginalOutcomeResult | 字符串 | 原始事件的原始结果。 |
| OriginalSeverity | 字符串 | 原始事件的原始严重性级别。 |
| 原始目标 | 动态的 | 事件中涉及的原始目标。 |
| 原始用户ID (OriginalUserId) | 字符串 | 事件数据中的原始用户 ID。 |
| 原始用户类型 | 字符串 | 原始事件数据中的用户类型。 |
| 请求 | 动态的 | 与事件关联的请求的详细信息。 |
| SecurityContextAsNumber | 整数 (int) | 安全性上下文中的自治系统 (AS) 编号。 |
| SecurityContextAsOrg | 字符串 | 与安全性上下文中 AS 编号关联的组织。 |
| SecurityContextDomain | 字符串 | 安全性上下文中涉及的域。 |
| SecurityContextIsProxy | 布尔 | 指示代理是否在安全上下文中使用。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcDeviceType | 字符串 | 源设备的类型(例如计算机)。 |
| SrcDvcId | 字符串 | 源设备的唯一标识符。 |
| SrcDvcIdType | 字符串 | 源设备 ID 的类型(例如 OktaId)。 |
| SrcDvcOs | 字符串 | 源设备的操作系统。 |
| SrcGeoCity | 字符串 | 源设备所在地的城市。 |
| SrcGeoCountry | 字符串 | 源设备所在国家的地理位置。 |
| SrcGeoLatitude | 实数 | 源设备地理位置的纬度。 |
| SrcGeoLongtitude | 实数 | 源设备地理位置的经度。 |
| SrcGeoPostalCode | 字符串 | 源设备的地理位置的邮政编码。 |
| SrcGeoRegion | 字符串 | 源设备地理位置所在的地区或州。 |
| SrcIpAddr | 字符串 | 源设备的 IP 地址。 |
| SrcIsp | 字符串 | 源设备的 Internet 服务提供商 (ISP)。 |
| SrcZone | 字符串 | 源设备的网络区域。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 生成事件的时间。 |
| 交易详情 | 动态的 | 有关与事件关联的交易的详细信息。 |
| TransactionId | 字符串 | 交易的唯一标识符。 |
| 交易类型 | 字符串 | 与事件关联的事务的类型。 |
| 类型 | 字符串 | 表的名称 |
| 版本 | 字符串 | 事件格式或架构的版本。 |