Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Okta-Integration

Sie können Okta in Sophos Central integrieren.

Sie können zwei Arten der Integration konfigurieren:

  • Datenerfassungs-Integration sendet Okta-Authentifizierungs- und Autorisierungsdaten zur Analyse an Sophos.
  • Reaktionsmaßnahmen-Integrationen ermöglichen die Verwendung von Okta-Maßnahmen zur Behebung erkannter Probleme. Siehe Reaktionsmaßnahmen.

Auf dieser Seite erhalten Sie einen Überblick über die Integration.

Okta-Produktübersicht

Das Werkzeug IAM von Okta ist ein Cloud-basierter Dienst, der den Benutzerzugriff auf Anwendungen, Systeme und Daten vereinfacht und sichert. Es bietet eine zentrale Plattform für die Verwaltung von Benutzeridentitäten, Authentifizierung, Autorisierung und Single-Sign-On (SSO) über verschiedene Anwendungen und Systeme hinweg.

Sophos-Dokumente

Okta integrieren

Was wir erfassen

Beispiel für Warnmeldungen, die Sophos gesehen hat:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

Alarme werden vollständig erfasst

Warnmeldungen werden über die Okta System Log API erfasst, wobei der Ereignistyp einer der folgenden ist:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.internal.threat.detected
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist\\
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

Filterung

Wir fragen den Endpoint der Authentifizierungsprotokolle ab. Siehe Systemprotokoll-API

Wir filtern die Ergebnisse, um nur das Format zu bestätigen.

Beispiele für Bedrohungszuordnungen

Der Warnmeldungstyp wird durch das Feld eventType in Okta definiert.

Beispiel-Alarme:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

Reaktionsmaßnahmen

Sie können eine Integration konfigurieren, damit Sie erkannte Probleme mit Okta-Maßnahmen beheben können.

Folgende Aktionen stehen zur Verfügung:

  • Benutzer sperren
  • Benutzer entsperren
  • Benutzerkennwort ablaufen lassen
  • Benutzersession ablaufen lassen

Herstellerdokumentation

Systemprotokoll-API

Hilfreiche Informationen

Wenn Sie ein Test-Konto verwenden, stellen Sie sicher, dass die URL nicht abgelaufen ist.

Wenn Sie ein MDR-Kunde sind, hat Ihr ausgewählter Reaktionsmodus (z. B. die Zusammenarbeit mit unserem MDR-Team) Vorrang vor den im Rahmen einer Integration eingerichteten Reaktionsmaßnahmen.

API-Token übernehmen die Berechtigungsebene des Admin-Kontos, mit dem sie erstellt werden. Die empfohlenen Administratorrollen mit den geringsten Berechtigungen lauten wie folgt:

  • Für eine Datenerfassungs-Integration: Report Admin.
  • Für die Integration von Reaktionsmaßnahmen: Org.-Admin.

Weitere Informationen zum Erstellen von Okta API-Token, Administratorrollen und Berechtigungen finden Sie unter: API-Token erstellen.