Okta

Okta 用の IBM QRadar DSM は、Okta デバイスから Okta REST API イベントを収集します。

以下の表は、Okta DSM の仕様を示しています。

表 1. Okta DSM の仕様
仕様	値
製造元	Okta
DSM 名	Okta
RPM ファイル名	DSM-OktaIdentityManagement-`QRadar_version-build_number`.noarch.rpm
プロトコル	Okta REST API
イベント・フォーマット	JSON
記録されるイベント・タイプ	すべて
自動的に検出?	いいえ
ID を含む?	はい
カスタム・プロパティーを含む?	いいえ
詳細情報	Okta Web サイト (https://www.okta.com/)

Okta を QRadarに統合するには、以下のステップを実行します。

自動更新が有効になっていない場合、RPM は IBM® サポートウェブサイト (http://www.ibm.com/support) からダウンロードできます。以下に示す RPM の最新バージョンをダウンロードして QRadar Consoleにインストールしてください。
- プロトコル共通
- Okta REST API プロトコル RPM
- Okta DSM RPM
複数の DSM RPM が必要な場合、統合の順序は DSM RPM の依存関係を反映したものでなければなりません。

QRadar Consoleで Okta ログ・ソースを追加します。

表 2. Okta DSM ログ・ソース・パラメーター
パラメーター	値
ログ・ソース・タイプ	Okta
プロトコル・タイプ	Okta REST API
名前	ログ・ソースの名前
説明 (オプション)	ログ・ソースの説明

Okta REST API プロトコルのパラメーターとその値のリストについては、 Okta REST API プロトコルの構成オプションを参照してください。

Okta DSM のサンプル・イベント・メッセージを次の表に示します。

重要: フォーマットの問題が原因で、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。

イベント名下位カテゴリーサンプル・ログ・メッセージ

コア・ユーザーの認証ログイン成功

ユーザー・ログイン成功

表 3. Okta デバイスによってサポートされる Okta サンプル・メッセージ
イベント名	下位カテゴリー	サンプル・ログ・メッセージ
コア・ユーザーの認証ログイン成功	ユーザー・ログイン成功	{"eventId":"xxxxxxxxxxxxxxxxxxxxx-xxxxxxxxxxxxxxxx","sessionId":"xxxxxxxxxxxxxxxxxxxxxxxxx","requestId":"xxxxxxxxxxxxxxxxxxxxxxxxxx","published":"2016-04-06T16:16:40.000Z","action":{"message":"Sign-in successful","categories":["Sign-in Success"],"objectType":"core.user_auth.login_success","requestUri":"/api/v1/authn"},"actors":[{"id":"xxxxxxxxxxxxxxxxxxxx","displayName":"User","login":"username@example.com","objectType":"User"},{"id":"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0","displayName":"FIREFOX","ipAddress":"<IP_address>","objectType":"Client"}],"targets":[{"id":"xxxxxxxxxxxxxxxxxxxx","displayName":"User","login":"username@example.com","objectType":"User"}]}
コア・ユーザーの認証ログイン失敗	ユーザー・ログイン失敗	{"eventId":"xxxxxxxxxxxxxxxx_xxxxxxxxxxxxxxxxxxxxxx","sessionId":"","requestId":"xxxxxxxxxxxxxxxxxxx-xxxxxxx","published":"2015-08-19T17:08:37.000Z","action":{"message":"Sign-in Failed - Not Specified","categories":["Sign-in Failure","Suspicious Activity"],"objectType":"core.user_auth.login_failed","requestUri":"/login/do-login"},"actors":[{"id":"Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko","displayName":"x x","ipAddress":"<IP_address>","objectType":"Client"}],"targets":[{"id":"","objectType":"User"}]}

{"eventId":"xxxxxxxxxxxxxxxxxxxxx-xxxxxxxxxxxxxxxx","sessionId":"xxxxxxxxxxxxxxxxxxxxxxxxx","requestId":"xxxxxxxxxxxxxxxxxxxxxxxxxx","published":"2016-04-06T16:16:40.000Z","action":{"message":"Sign-in successful","categories":["Sign-in Success"],"objectType":"core.user_auth.login_success","requestUri":"/api/v1/authn"},"actors":[{"id":"xxxxxxxxxxxxxxxxxxxx","displayName":"User","login":"username@example.com","objectType":"User"},{"id":"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0","displayName":"FIREFOX","ipAddress":"<IP_address>","objectType":"Client"}],"targets":[{"id":"xxxxxxxxxxxxxxxxxxxx","displayName":"User","login":"username@example.com","objectType":"User"}]}

コア・ユーザーの認証ログイン失敗

ユーザー・ログイン失敗

{"eventId":"xxxxxxxxxxxxxxxx_xxxxxxxxxxxxxxxxxxxxxx","sessionId":"","requestId":"xxxxxxxxxxxxxxxxxxx-xxxxxxx","published":"2015-08-19T17:08:37.000Z","action":{"message":"Sign-in Failed - Not Specified","categories":["Sign-in Failure","Suspicious Activity"],"objectType":"core.user_auth.login_failed","requestUri":"/login/do-login"},"actors":[{"id":"Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko","displayName":"x x","ipAddress":"<IP_address>","objectType":"Client"}],"targets":[{"id":"","objectType":"User"}]}