APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > ゼロトラスト > OktaログをMicrosoft Sentinelに取り込んでみた

OktaログをMicrosoft Sentinelに取り込んでみた

ゼロトラスト
< techblogAPCについて(はじめにお読み下さい) >

はじめに

こんにちは、エーピーコミュニケーションズ iTOC事業部 BzD部 0-WANの坂口です。
今回は、OktaのログをMicrosoft Sentinelに格納する方法をご紹介します。

想定アーキテクチャ

想定するアーキテクチャは、下図のとおりです。

  • Azure Functions
    定期的にOktaに接続してログを収集します。
  • Log Analytics workspace
    収集したOktaログを格納します。
  • Microsoft Sentinel
    Log Analytics workspaceに格納されたログを参照・分析します。

ログ格納の手順

Oktaの監査ログとイベントログを収集する手順です。下記データコネクタを利用します。

learn.microsoft.com

手順1. Okta API Tokenの作成
手順2. Okta Single Sing-Onコンテンツのインストール
手順3. Azure Functionsをデプロイ
手順4. OktaログをSentinelで確認

では、順番に設定していきます。

手順1. Okta API Tokenの作成

まず、Okta側での作業です。公式ガイドを参考にAPI Tokenを発行します。

developer.okta.com

管理者権限を持ったユーザーでOktaにサインインします。
管理コンソールで、Security > APIを選んで、Tokensタブで[Create token]をクリックします。

任意のtoken名を入力して、[Create token]をクリックします。

発行されたToken Valueをメモします。(再表示はできませんので、ご注意ください。)

手順2. Okta Single Sing-Onコンテンツのインストール

Microsoft Sentinel コンテンツハブページの検索フィールドに「okta」と入力します。
「Okta Single Sign-On」コンテンツにチェックを入れ、[インストール]をクリックします。

状態がインストール済みになったことを確認し、[管理]をクリックします。

手順3. Okta SSOとの統合

Okta Single Sign-On (using Azure Functions)にチェックを入れ、[コネクタページを開く]をクリックします。

OktaとMicrosoft Sentinelを接続するためのオプションは2つありますが、今回は「オプション 1 Azure Resource Manager (ARM) テンプレート」で接続します。 [Deploy to Azure]をクリックします。

カスタムデプロイのページで、サブスクリプション、リソース グループ、リージョンを選択します。
Workspace ID、Workspace Key、API Token、Uri、App Insights Workspace Resource IDを入力して、[確認と作成]をクリックします。

入力項目について
* Workspace IDとWorkspace Keyは、Log Analytics workspaceの「エージェント」で確認できます。
* API Tokenは、Oktaで発行したものです。
* Uriは、https://<OktaDomain>/api/v1/logs?since=と入力します。
※<OktaDomain>は、管理しているOktaドメインに置き換えてください。
* App Insights Workspace Resource IDは、Log Analytics workspaceの「プロパティ」で確認できます。

作成内容を確認して、[作成]をクリックします。

デプロイ完了後、Okta SSOのコネクタページで状態が「Connected」になったことを確認できれば、Oktaの接続は完了です。
検証では、「Connected」になるまでに、1時間以上かかりました。
問題なく設定できたのか不安になりますが、気長に待ちましょう。

Oktaログの取り込み確認

最後に、KQLクエリでOktaのログを確認してみます。

OktaログがSentinelのOkta_CLテーブルに格納されているのが確認できました。

おわりに

今回は、OktaのログをMicrosoft Sentinelに格納してみました。 Sentinelには様々なコネクタが準備されており、Microsoft製品でなくても容易にログを収集することができます。 従量課金のため、パイロット導入もしやすいと思いますので、是非活用をご検討ください。

0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp