Okta 통합 개요

Okta를 Sophos Central과 통합할 수 있습니다.

두 가지 종류의 통합을 구성할 수 있습니다.

• 데이터 수집 통합을 통해 Okta 인증 및 권한 부여 데이터가 분석을 위해 Sophos 로 전송됩니다.
• 응답 작업 통합을 통해 Okta 작업을 사용하여 감지된 문제를 해결할 수 있습니다. 대응 조치을 참조하십시오.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Okta 제품 개요

Okta의 IAM 도구는 애플리케이션, 시스템 및 데이터에 대한 사용자 액세스를 단순화하고 보호하는 클라우드 기반 서비스입니다. 다양한 애플리케이션과 시스템 전반에 걸쳐 사용자 ID, 인증, 권한 부여, SSO(Single Sign-On)를 관리하기 위한 중앙 집중식 플랫폼을 제공하는 방식으로 작동합니다.

Sophos 문서

Okta 통합

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

• security.authenticator.lifecycle.activate
• security.authenticator.lifecycle.create
• security.authenticator.lifecycle.deactivate
• security.authenticator.lifecycle.update
• security.device.add_request_blacklist_policy

완전히 수집되는 경고

Okta 시스템 로그 API를 통해 다음과 같은 이벤트 유형 중 하나에 해당하는 알림을 수집합니다.

• security.attack.start
• security.attack_protection.settings.update
• security.authenticator.lifecycle.activate
• security.authenticator.lifecycle.create
• security.authenticator.lifecycle.deactivate
• security.authenticator.lifecycle.update
• security.behavior.settings.create
• security.behavior.settings.delete
• security.behavior.settings.update
• security.breached_credential.detected
• security.device.add_request_blacklist_policy
• security.device.remove_request_blacklist_policy
• security.device.temporarily_disable_blacklisting
• security.events.provider.activate
• security.events.provider.create
• security.events.provider.deactivate
• security.events.provider.delete
• security.events.provider.receive_event
• security.events.provider.update
• security.events.transmitter.create
• security.events.transmitter.delete
• security.events.transmitter.update
• security.request.blocked
• security.session.detect_client_roaming
• security.threat.configuration.update
• security.threat.detected
• security.trusted_origin.activate
• security.trusted_origin.create
• security.trusted_origin.deactivate
• security.trusted_origin.delete
• security.trusted_origin.update
• security.voice.add_country_blacklist
• security.voice.remove_country_blacklist
• security.zone.make_blacklist
• security.zone.remove_blacklist

필터링

우리는 인증 로그 Endpoint 조회합니다. 시스템 로그 API를 참조하십시오

결과를 필터링하여 형식만 확인합니다.

샘플 위협 매핑

경고 유형은 Okta 필드 eventType에 의해 정의됩니다.

경고 샘플:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

대응 조치

Okta 액션을 사용하여 감지된 문제를 해결할 수 있도록 통합을 구성할 수 있습니다.

사용 가능한 조치는 다음과 같습니다.

• 사용자 일시 중단
• 사용자 일시 중단 해제
• 사용자 비밀번호 만료
• 사용자 세션 만료

공급업체 설명서

시스템 로그 API

유용한 정보

체험 계정을 사용 중이라면 URL이 만료되지 않았는지 확인하세요.

MDR 고객인 경우, 선택한 Threat Response 모드(예: 당사 MDR 분석가와의 협업)가 대응 조치 통합에서 설정한 조치보다 우선 적용됩니다.

API 토큰은 토큰을 생성하는 데 사용된 관리자 계정의 권한 수준을 상속합니다. 권장되는 최소 권한 관리자 역할은 다음과 같습니다.

• 데이터 수집 통합의 경우: 보고서 관리자
• Response Actions 통합의 경우: 조직 관리자

Okta API 토큰 생성, 관리자 역할 및 권한에 대한 자세한 내용은 다음을 참조하세요. API 토큰을 생성합니다.