주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=okta-overview

Okta 통합

API ID

Okta를 Sophos Central과 통합할 수 있습니다.

두 가지 종류의 통합을 구성할 수 있습니다.

  • Data Ingest 통합은 Okta 인증 및 권한 부여 데이터를 Sophos로 전송하여 분석을 수행합니다.
  • 응답 작업 통합을 통해 Okta 작업를 사용하여 감지된 문제를 해결할 수 있습니다. 대응 조치을 참조하십시오.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Okta 제품 개요

Okta의 IAM 도구는 애플리케이션, 시스템 및 데이터에 대한 사용자 액세스를 단순화하고 보호하는 클라우드 기반 서비스입니다. 다양한 애플리케이션과 시스템 전반에 걸쳐 사용자 ID, 인증, 권한 부여, SSO(Single Sign-On)를 관리하기 위한 중앙 집중식 플랫폼을 제공하는 방식으로 작동합니다.

Sophos 문서

Okta 통합

우리가 섭취하는 것

Sophos에서 볼 수 있는 샘플 경고:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

알림이 완전히 수집됨

이벤트 유형이 다음 중 하나인 Okta System Log API를 통해 알림을 수집합니다.

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.internal.threat.detected
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist\\
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

필터링

인증 로그 끝점을 쿼리합니다. 시스템 로그 API 참조

결과를 필터링하여 형식만 확인합니다.

위협 매핑 샘플

경고 유형은 Okta 필드 로 정의됩니다. eventType

샘플 알림:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

대응 조치

Okta 작업를 사용하여 감지된 문제를 해결할 수 있는 통합을 구성할 수 있습니다.

사용 가능한 작업는 다음과 같습니다.

  • 사용자 일시 중단
  • 사용자 일시 중단 해제
  • 사용자 암호 만료
  • 사용자 세션 만료

공급업체 설명서

시스템 로그 API

유용한 정보

평가판 계정을 사용하는 경우 URL이 만료되지 않았는지 확인합니다.

MDR 고객인 경우 선택한 위협 대응 모드(예: MDR 분석가와의 협업)가 Response 작업 통합에서 설정한 작업를 재정의합니다.

API 토큰은 토큰을 생성하는 데 사용된 관리자 계정의 권한 수준을 상속합니다. 권장되는 최소 권한 관리자 역할은 다음과 같습니다.

  • Data Ingest 통합의 경우: 보고서 관리자
  • Response 작업 통합: 조직 관리자

Okta API 토큰, 관리자 역할 및 사용 권한을 생성하는 추가 정보에 대한 자세한 내용은 다음을 참조하십시오. API 토큰 만들기