Okta 통합
Okta를 Sophos Central과 통합할 수 있습니다.
두 가지 종류의 통합을 구성할 수 있습니다.
- Data Ingest 통합은 Okta 인증 및 권한 부여 데이터를 Sophos로 전송하여 분석을 수행합니다.
- 응답 작업 통합을 통해 Okta 작업를 사용하여 감지된 문제를 해결할 수 있습니다. 대응 조치을 참조하십시오.
이 페이지에서는 통합에 대한 개요를 제공합니다.
Okta 제품 개요
Okta의 IAM 도구는 애플리케이션, 시스템 및 데이터에 대한 사용자 액세스를 단순화하고 보호하는 클라우드 기반 서비스입니다. 다양한 애플리케이션과 시스템 전반에 걸쳐 사용자 ID, 인증, 권한 부여, SSO(Single Sign-On)를 관리하기 위한 중앙 집중식 플랫폼을 제공하는 방식으로 작동합니다.
Sophos 문서
우리가 섭취하는 것
Sophos에서 볼 수 있는 샘플 경고:
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
알림이 완전히 수집됨
이벤트 유형이 다음 중 하나인 Okta System Log API를 통해 알림을 수집합니다.
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
security.device.remove_request_blacklist_policy
security.device.temporarily_disable_blacklisting
security.internal.threat.detected
security.request.blocked
security.session.detect_client_roaming
security.threat.configuration.update
security.threat.detected
security.voice.add_country_blacklist
security.voice.remove_country_blacklist\\
security.zone.make_blacklist
security.zone.remove_blacklist
필터링
인증 로그 끝점을 쿼리합니다. 시스템 로그 API 참조
결과를 필터링하여 형식만 확인합니다.
위협 매핑 샘플
경고 유형은 Okta 필드 로 정의됩니다. eventType
샘플 알림:
{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}
대응 조치
Okta 작업를 사용하여 감지된 문제를 해결할 수 있는 통합을 구성할 수 있습니다.
사용 가능한 작업는 다음과 같습니다.
- 사용자 일시 중단
- 사용자 일시 중단 해제
- 사용자 암호 만료
- 사용자 세션 만료
공급업체 설명서
유용한 정보
평가판 계정을 사용하는 경우 URL이 만료되지 않았는지 확인합니다.
MDR 고객인 경우 선택한 위협 대응 모드(예: MDR 분석가와의 협업)가 Response 작업 통합에서 설정한 작업를 재정의합니다.
API 토큰은 토큰을 생성하는 데 사용된 관리자 계정의 권한 수준을 상속합니다. 권장되는 최소 권한 관리자 역할은 다음과 같습니다.
- Data Ingest 통합의 경우: 보고서 관리자
- Response 작업 통합: 조직 관리자
Okta API 토큰, 관리자 역할 및 사용 권한을 생성하는 추가 정보에 대한 자세한 내용은 다음을 참조하십시오. API 토큰 만들기