Okta-Integration
Sie können Okta in Sophos Central integrieren.
Sie können zwei Arten der Integration konfigurieren:
- Datenerfassungs-Integration sendet Okta-Authentifizierungs- und Autorisierungsdaten zur Analyse an Sophos.
- Reaktionsmaßnahmen-Integrationen ermöglichen die Verwendung von Okta-Maßnahmen zur Behebung erkannter Probleme. Siehe Reaktionsmaßnahmen.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Okta-Produktübersicht
Das Werkzeug IAM von Okta ist ein Cloud-basierter Dienst, der den Benutzerzugriff auf Anwendungen, Systeme und Daten vereinfacht und sichert. Es bietet eine zentrale Plattform für die Verwaltung von Benutzeridentitäten, Authentifizierung, Autorisierung und Single-Sign-On (SSO) über verschiedene Anwendungen und Systeme hinweg.
Sophos-Dokumente
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
Alarme werden vollständig erfasst
Warnmeldungen werden über die Okta System Log API erfasst, wobei der Ereignistyp einer der folgenden ist:
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
security.device.remove_request_blacklist_policy
security.device.temporarily_disable_blacklisting
security.internal.threat.detected
security.request.blocked
security.session.detect_client_roaming
security.threat.configuration.update
security.threat.detected
security.voice.add_country_blacklist
security.voice.remove_country_blacklist\\
security.zone.make_blacklist
security.zone.remove_blacklist
Filterung
Wir fragen den Endpoint der Authentifizierungsprotokolle ab. Siehe Systemprotokoll-API
Wir filtern die Ergebnisse, um nur das Format zu bestätigen.
Beispiele für Bedrohungszuordnungen
Der Warnmeldungstyp wird durch das Feld eventType
in Okta definiert.
Beispiel-Alarme:
{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}
Reaktionsmaßnahmen
Sie können eine Integration konfigurieren, damit Sie erkannte Probleme mit Okta-Maßnahmen beheben können.
Folgende Aktionen stehen zur Verfügung:
- Benutzer sperren
- Benutzer entsperren
- Benutzerkennwort ablaufen lassen
- Benutzersession ablaufen lassen
Herstellerdokumentation
Hilfreiche Informationen
Wenn Sie ein Test-Konto verwenden, stellen Sie sicher, dass die URL nicht abgelaufen ist.
Wenn Sie ein MDR-Kunde sind, hat Ihr ausgewählter Reaktionsmodus (z. B. die Zusammenarbeit mit unserem MDR-Team) Vorrang vor den im Rahmen einer Integration eingerichteten Reaktionsmaßnahmen.
API-Token übernehmen die Berechtigungsebene des Admin-Kontos, mit dem sie erstellt werden. Die empfohlenen Administratorrollen mit den geringsten Berechtigungen lauten wie folgt:
- Für eine Datenerfassungs-Integration: Report Admin.
- Für die Integration von Reaktionsmaßnahmen: Org.-Admin.
Weitere Informationen zum Erstellen von Okta API-Token, Administratorrollen und Berechtigungen finden Sie unter: API-Token erstellen.