はじめに
こんにちは、エーピーコミュニケーションズ iTOC事業部 BzD部 0-WANの坂口です。
今回は、OktaのログをMicrosoft Sentinelに格納する方法をご紹介します。
想定アーキテクチャ
想定するアーキテクチャは、下図のとおりです。
- Azure Functions
定期的にOktaに接続してログを収集します。 - Log Analytics workspace
収集したOktaログを格納します。 - Microsoft Sentinel
Log Analytics workspaceに格納されたログを参照・分析します。
ログ格納の手順
Oktaの監査ログとイベントログを収集する手順です。下記データコネクタを利用します。
手順1. Okta API Tokenの作成
手順2. Okta Single Sing-Onコンテンツのインストール
手順3. Azure Functionsをデプロイ
手順4. OktaログをSentinelで確認
では、順番に設定していきます。
手順1. Okta API Tokenの作成
まず、Okta側での作業です。公式ガイドを参考にAPI Tokenを発行します。
管理者権限を持ったユーザーでOktaにサインインします。
管理コンソールで、Security > APIを選んで、Tokensタブで[Create token]をクリックします。
任意のtoken名を入力して、[Create token]をクリックします。
発行されたToken Valueをメモします。(再表示はできませんので、ご注意ください。)
手順2. Okta Single Sing-Onコンテンツのインストール
Microsoft Sentinel コンテンツハブページの検索フィールドに「okta」と入力します。
「Okta Single Sign-On」コンテンツにチェックを入れ、[インストール]をクリックします。
状態がインストール済みになったことを確認し、[管理]をクリックします。
手順3. Okta SSOとの統合
Okta Single Sign-On (using Azure Functions)にチェックを入れ、[コネクタページを開く]をクリックします。
OktaとMicrosoft Sentinelを接続するためのオプションは2つありますが、今回は「オプション 1 Azure Resource Manager (ARM) テンプレート」で接続します。 [Deploy to Azure]をクリックします。
カスタムデプロイのページで、サブスクリプション、リソース グループ、リージョンを選択します。
Workspace ID、Workspace Key、API Token、Uri、App Insights Workspace Resource IDを入力して、[確認と作成]をクリックします。
入力項目について
* Workspace IDとWorkspace Keyは、Log Analytics workspaceの「エージェント」で確認できます。
* API Tokenは、Oktaで発行したものです。
* Uriは、https://<OktaDomain>/api/v1/logs?since=
と入力します。
※<OktaDomain>は、管理しているOktaドメインに置き換えてください。
* App Insights Workspace Resource IDは、Log Analytics workspaceの「プロパティ」で確認できます。
作成内容を確認して、[作成]をクリックします。
デプロイ完了後、Okta SSOのコネクタページで状態が「Connected」になったことを確認できれば、Oktaの接続は完了です。
検証では、「Connected」になるまでに、1時間以上かかりました。
問題なく設定できたのか不安になりますが、気長に待ちましょう。
Oktaログの取り込み確認
最後に、KQLクエリでOktaのログを確認してみます。
OktaログがSentinelのOkta_CLテーブルに格納されているのが確認できました。
おわりに
今回は、OktaのログをMicrosoft Sentinelに格納してみました。 Sentinelには様々なコネクタが準備されており、Microsoft製品でなくても容易にログを収集することができます。 従量課金のため、パイロット導入もしやすいと思いますので、是非活用をご検討ください。
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。