コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=okta-overview

Okta 統合の概要

API ID

Okta を Sophos Central と統合することができます。

次の 2種類の統合を設定できます。

  • データ取り込みの統合は、Okta の認証および認証データをソフォスに解析用として送信します。
  • 対応アクション統合を使用すると、Okta アクションを使用して検出された問題を解決できます。詳細は、対応アクションを参照してください。

このページでは、統合の概要を説明します。

Okta 製品の概要

Okta の IAM ツールは、アプリケーション、システム、データへのユーザーアクセスを簡素化し、保護するクラウドベースのサービスです。これは、さまざまなアプリケーションやシステムにわたるユーザー ID、認証、認可、シングルサインオン (SSO) を管理するための一元化されたプラットフォームを提供することで機能します。

ソフォス製品ドキュメント

Okta の統合

取り込まれる内容

ソフォスで表示される警告の例:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

完全に取り込まれる警告

Okta System Log API を介して警告を取り込みます。イベントの種類は次のいずれかです。

  • security.attack.start
  • security.attack_protection.settings.update
  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.behavior.settings.create
  • security.behavior.settings.delete
  • security.behavior.settings.update
  • security.breached_credential.detected
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.events.provider.activate
  • security.events.provider.create
  • security.events.provider.deactivate
  • security.events.provider.delete
  • security.events.provider.receive_event
  • security.events.provider.update
  • security.events.transmitter.create
  • security.events.transmitter.delete
  • security.events.transmitter.update
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.trusted_origin.activate
  • security.trusted_origin.create
  • security.trusted_origin.deactivate
  • security.trusted_origin.delete
  • security.trusted_origin.update
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

フィルタリング

認証ログエンドポイントを照会します。System Log API を参照してください。

結果をフィルタリングして、形式のみを確認します。

脅威マッピングの例

警告の種類は Okta フィールド eventType で定義されます。

警告の例:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

対応アクション

統合を設定すると、Okta アクションを使用して検出された問題を解決できます。

使用可能なアクションは次のとおりです。

  • ユーザーの一時停止
  • ユーザーの一時停止解除
  • ユーザーパスワードを期限切れにする
  • ユーザーセッションを期限切れにする

ベンダーのドキュメント

System Log API

役に立つ情報

評価版アカウントを使用している場合は、URL の有効期限が切れていないことを確認してください。

MDR のお客様の場合、MDR チームとのコラボレーションなど、選択したレスポンスモードは、対応アクションの統合で設定したアクションよりも優先されます。

API トークンは、作成に使用された管理アカウントの権限レベルを継承します。推奨される最低限の権限の管理者ロールは次のとおりです。

  • データの取り込みの統合の場合:レポート管理者。
  • 対応アクションの統合の場合:組織の管理者。

Okta API トークン、管理者ロール、および権限の作成の詳細については、次を参照してください。Create an API token.