実行ログストリーミングOkta Verifyの構成

詳細な実行ログをSIEMシステムにストリーミングするようにOkta Workflowsを構成することで、より詳細な分析を実行し、フローに関連するアクティビティのアラートを作成できます。

開始する前に

  • Okta Workflows orgの実行ログストリーミング機能を有効化または変更するには、スーパー管理者権限が必要です。

    スーパー管理者権限を持たないユーザーは、構成の詳細(暗号化されたヘッダーを除く)を表示できますが、変更はできません。

  • サービスが取り込むためのストリーミングイベントの構成に関するガイダンスについては、SIEMシステムのドキュメントを参照してください。

このタスクを開始する

  1. Workflowsコンソール設定(Settings)タブを開きます。

  2. 実行ログストリーミング(Execution log streaming)タブで編集(Edit)をクリックし、構成を変更します。

  3. トグルを使って実行ログストリーミングを有効化(Enable execution log streaming)に切り替えます。

  4. SIEM受信者の取り込みポイントの完全修飾ドメイン名とパスをURLフィールドに入力します。URLのプロトコルとポート情報の指定が必要になる場合もあります。

    たとえば、SplunkのHTTPイベントコレクターであれば、次の形式を指定します:<protocol>://http-inputs-<host>.splunkcloud.com:<port>/<endpoint>

  5. SIEM受信者に送信するイベントを選択します。各レコードには、Base Schemaに指定したフィールドとイベント固有のすべてのメタデータが含まれます。

    イベント名

    説明

    すべて(All)

    フローに関連するすべてのメタデータ。

    開始済み(Started)

    フローの開始条件に関連するメタデータ。

    完了(Completed)

    フローの完了時に記録されるメタデータイベント。

    失敗(Failed)

    フローの失敗に関するすべてのメタデータ。

    キャンセル(Canceled)

    キャンセルされたフローのすべてのメタデータ。

    一時停止(Paused)

    フローの一時停止時に記録されるメタデータイベント。

    スロットル(Throttled)

    スロットル状態になるフローのメタデータイベントが記録されます。

    これらの各イベントタイプで送信されるメタデータの詳細については、「ストリーミングされたログイベントのスキーマ」を参照してください。

  6. Authorization header (encrypted)(承認ヘッダー(暗号化))セクションには、イベントのストリーミング時にSIEMとの接続の認証に必要なキー/値ペアを入力します。これは、暗号化された情報としてリクエストとともにSIEMエンドポイントに送信されます。

  7. すべての新しいフローに対して実行ログストリーミングをデフォルトで無効にする場合は、新しいフローの作成時デフォルトで無効にするチェックボックスをオンにします。

  8. 必要に応じて、ストリーミングイベントの一部として含める必要があるキー/値ペアのその他のカスタムヘッダー(Other custom headers)セクションを使用します。これらのカスタムヘッダーは暗号化されません。

  9. SIEM受信者が、各イベント本文の特別なラッピングを必要とする場合は、Custom event body (Optional)(カスタムイベント本文(任意))(Custom event body (Optional) field)フィールドを使用します。想定される本文形式と一致させるために必要なJSON形式を含めます。"${event}"(引用符も必要)をフィールドに指定して、Okta Workflowsがイベントデータを挿入する場所を示します。たとえば、Splunkであれば、各イベントは次の形式である必要があります。

    {
  "event": "${event}"
}

    カスタムイベント本文のリセットが必要なときは、デフォルトのイベント本文を使用(Use default event body)をクリックして基本形式に戻ります。

  10. 保存(Save)をクリックして設定を確定します。

  11. 構成が完了したら、テストイベントを送信(Send test event)をクリックしてストリーミングイベントの例を確認します。

  12. 送信(Send)をクリックしてサンプルペイロードを送信し、SIEM受信者からのレスポンスを確認します。

  13. フローを呼び出すと(API呼び出し、またはフロービルダーのインターフェイスを使用)、Okta WorkflowsはロギングされたイベントをSIEM受信者に送信します。SIEMクライアントインターフェイスに移動して、ロギングされたイベントが表示されることを検証します。

制限事項と既知の問題

  • SIEM受信者に渡すことができる実行イベントの総数には上限があります。

  • イベントにはorg IDとユーザーIDは含まれません。これらの値を含めるには、それぞれを個別のキー/値ペアとして構成します。

関連リンク

個々のフローの実行ログストリーミングを管理する

ストリーミングされたログイベントのスキーマ