跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=okta-overview

Okta 整合的概覽

您可以將 Okta 與 Sophos Central 整合。

您可以設定兩種整合:

  • 資料擷取整合將 Okta 身分驗證和授權資料傳送至 Sophos 進行分析。
  • 回應動作整合讓您使用 Okta 動作來解決檢測到的問題。請參見 回應動作

本頁面提供此整合功能的概覽。

Okta 產品概覽

Okta 的 IAM 工具是一種基於雲端的服務,可簡化並保護使用者對應用程式、系統和資料的存取。它的工作原理是提供一個集中式平台,用於跨各種應用程式和系統管理使用者身分、身分驗證、授權和單一登入 (SSO)。

Sophos 說明文件

整合 Okta

我們擷取的內容

Sophos 可擷取的範例警示包括:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

完整擷取警示

我們通過 Okta 系統日誌 API 擷取警示,事件類型為以下之一:

  • security.attack.start
  • security.attack_protection.settings.update
  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.behavior.settings.create
  • security.behavior.settings.delete
  • security.behavior.settings.update
  • security.breached_credential.detected
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.events.provider.activate
  • security.events.provider.create
  • security.events.provider.deactivate
  • security.events.provider.delete
  • security.events.provider.receive_event
  • security.events.provider.update
  • security.events.transmitter.create
  • security.events.transmitter.delete
  • security.events.transmitter.update
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.trusted_origin.activate
  • security.trusted_origin.create
  • security.trusted_origin.deactivate
  • security.trusted_origin.delete
  • security.trusted_origin.update
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

資料篩選

我們查詢身份驗證日誌端點。請參見 系統日誌 API

我們過濾結果以確認格式。

威脅對應範例

警示類型由 Okta 欄位 eventType 定義。

警示示例:

{"alertType": "application.user_membership.add", "threatId":"T1484.001", "threatName":"Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId":"T1098", "threatName":"Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId":"T1087", "threatName":"Account Discovery"}

回應動作

您可以配置一個整合,讓您使用 Okta 動作來解決檢測到的問題。

可用的動作如下:

  • 暫停使用者
  • 取消暫停使用者
  • 使使用者密碼失效
  • 使使用者會話失效

原廠文件

系統日誌 API

有用資訊

如果您使用的是試用帳戶,請確保 URL 尚未過期。

如果您是 MDR 客戶,您選擇的威脅回應模式,例如與我們的 MDR 分析師合作,將覆蓋您在回應動作整合中設置的動作。

API 令牌繼承用於創建它們的管理員帳戶的權限級別。建議的最低權限管理員角色如下:

  • 對於數據攝取整合:報告管理員。
  • 對於響應行動整合:組織管理員。

有關創建 Okta API 權杖、管理員角色和權限的更多信息,請參見:創建 API 權杖.