Vai al contenuto
Il supporto che offriamo per MDR.

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=okta-overview

Panoramica dell’integrazione Okta

API Identità

Okta può essere integrato con Sophos Central.

Si possono configurare due tipi di integrazione:

  • Un’integrazione Inserimento dei dati invia i dati di autenticazione e autorizzazione di Okta a Sophos, a scopo di analisi.
  • Un’integrazione Azione di risposta consente di utilizzare le azioni di Okta per risolvere i problemi rilevati. Vedere Azioni di risposta.

Questa pagina fornisce una panoramica dell’integrazione.

Panoramica del prodotto Okta

Lo strumento IAM di Okta è un servizio basato sul cloud che semplifica e protegge l’accesso degli utenti ad applicazioni, sistemi e dati. Agisce fornendo una piattaforma centralizzata per la gestione delle identità degli utenti, l’autenticazione, le autorizzazioni e il Single Sign-On (SSO) su vari sistemi e applicazioni.

Documenti Sophos

Integrazione di Okta

I dati raccolti e inseriti

Esempi di avvisi visualizzati da Sophos:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

Avvisi inseriti per intero

Gli avvisi vengono inseriti tramite l’API Okta System Log, nella quale il tipo di evento è uno dei seguenti:

  • security.attack.start
  • security.attack_protection.settings.update
  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.behavior.settings.create
  • security.behavior.settings.delete
  • security.behavior.settings.update
  • security.breached_credential.detected
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.events.provider.activate
  • security.events.provider.create
  • security.events.provider.deactivate
  • security.events.provider.delete
  • security.events.provider.receive_event
  • security.events.provider.update
  • security.events.transmitter.create
  • security.events.transmitter.delete
  • security.events.transmitter.update
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.trusted_origin.activate
  • security.trusted_origin.create
  • security.trusted_origin.deactivate
  • security.trusted_origin.delete
  • security.trusted_origin.update
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

Filtraggio

Eseguiamo query sull’endpoint dei log di autenticazione. Vedere API System Log

Filtriamo i risultati solo per confermare il formato.

Esempi di mapping delle minacce

Il tipo di avviso viene definito dal campo Okta eventType.

Esempi di avvisi:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

Azioni di risposta

È possibile configurare un’integrazione che permette di utilizzare le azioni di Okta per risolvere i problemi rilevati.

Le azioni disponibili sono le seguenti:

  • Sospendi utente
  • Annulla la sospensione dell’utente
  • Fai scadere la password dell’utente
  • Fai scadere la sessione dell’utente

Documentazione del vendor

API System Log

Informazioni utili

Se si utilizza un account di prova gratuita, assicurarsi che l’URL non sia scaduto.

Per i clienti MDR, la modalità di risposta selezionata, ad esempio la collaborazione con i nostri analisti MDR, sovrascrive le azioni impostate nell’integrazione Azioni di risposta.

I token API ereditano il livello di privilegio dell’account amministratore utilizzato per crearli. I ruoli di amministratore con meno privilegi possibili consigliati sono i seguenti:

  • Per un’integrazione Inserimento dei dati: Report Admin (Amministratore Report).
  • Per un’integrazione Azioni di risposta: Org Admin (Amministratore Organizzazione).

Per maggiori informazioni sulla creazione di token API Okta, sui ruoli di amministrazione e sulle autorizzazioni, vedere: Creare un token API.