随着最近社交媒体通过第三方承包商对 Okta 事件的报道,安全团队跑到他们的日志中,并要求 Databricks 等供应商提供检测和分析建议。在 Okta 通知我们不属于潜在受影响的客户之前,我们使用Databricks Lakehouse进行了自己的调查。我们想展示我们是如何进行这项调查的,并分享见解和技术细节。我们还将提供笔记本,您可以将这些笔记本导入您的 Databricks 部署或我们的社区版以摄取您的 Okta 日志,以便在本博客结束时,您可以为您的公司执行相同的分析。
背景
Okta是市场领先的基于云的身份平台,用于与客户的企业或业务应用程序进行单点登录 (SSO) 身份验证和授权、多因素身份验证以及用户管理服务。
2022 年 1 月,黑客获得了对由向 Okta 客户提供支持服务的第三方组织拥有和运营的端点(用户系统)的访问权限。这些参与者可能能够执行操作,就好像他们是分配到该端点的员工一样。与大多数组织一样,Databricks 立即对该事件展开调查,分析我们存储在 Lakehouse 中的几年 Okta 数据。我们构建了自己的查询,但我们也从业内其他人的帖子和推文中发现了巨大的价值。
“即使 Okta 控制台中提供了日志,我们也将它们存储在我们自己的系统中。这增加了额外的安全层,因为我们能够存储比 Okta 控制台中可用的更长的日志。这也确保了 Okta 平台的妥协不会改变我们已经收集和存储的证据。”
多亏了这种方法,他们能够“在 Okta 系统日志中搜索任何妥协迹象(密码更改、硬件令牌更改等)。Cloudflare 每五分钟读取一次系统 Okta 日志并将其存储在我们的 SIEM 中,这样如果我们遇到这样的事件,我们可以比 Okta 仪表板中提供的 90 天更远地回顾。”
事件发生后,我们的许多客户联系我们询问 Databricks 是否可以帮助他们摄取和分析他们的 Okta 系统日志,答案是肯定的!Databricks Lakehouse 平台可让您以数 PB 的规模存储、处理和分析您的数据,从而实现更长的保留和回溯期,并通过数据科学和机器学习进行高级威胁检测。更重要的是,您甚至可以通过您的 SIEM 工具查询它们,提供您的安全事件的 360 度视图。
在这篇博文中,我们将演示如何将Okta 系统日志与您的Databricks Lakehouse 平台集成,并收集和监控它们。这种集成使您的安全团队能够更深入地了解您的应用程序和最终用户的身份验证和授权行为,并让您可以查找与最近 Okta 妥协相关的特定事件。
如果您的目标是快速入门,您可以跳过阅读博客的其余部分并在您自己的 Databricks 部署中 使用这些笔记本,如果遇到困难,请参阅笔记本每个部分中的评论。
请继续阅读笔记本中提供的集成和分析的技术说明。
关于 Okta 系统日志
Okta 系统日志记录与您的组织相关的系统事件,以提供可用于了解平台活动和诊断问题的审计跟踪。Okta系统日志 API提供对组织系统日志的近乎实时的只读访问。这些日志提供对用户活动的重要洞察,按 Okta事件类型分类。每个事件类型代表一个特定的活动(例如,登录尝试、密码重置、创建新用户)。您可以搜索事件类型并将活动与其他 Okta 日志属性相关联,例如事件结果(例如,成功或失败)、IP 地址、用户名、浏览器类型和地理位置。
将 Okta 系统日志事件引入其他系统的方法有很多,但我们使用系统日志 API来检索最新的系统日志事件。
Okta 系统日志的 Lakehouse 架构
Databricks Lakehouse是一种开放式架构,它结合了数据湖和数据仓库的最佳元素。我们推荐以下 Lakehouse 架构用于网络安全工作负载,例如 Okta 系统日志分析:
- 第 1 步:Okta 系统日志记录与您的组织相关的系统事件,以提供可用于了解平台活动和诊断问题的审计跟踪。
- 第 2 步:Okta 系统日志 API 提供对您组织系统日志的近乎实时的只读访问。
- 第 3 步:您可以使用提供的笔记本连接到 Okta 系统日志 API,并以较短的时间间隔自动将记录摄取到 Databricks Delta 中(可选地将其安排为 Databricks 作业)。
- 第 4 步:在本博客结束时,借助提供的笔记本,您将准备好使用数据进行分析。
图 2. Okta 系统日志的 Lakehouse 架构
在接下来的部分中,我们将介绍如何获取 Okta 日志属性来监控应用程序中的活动。
