Okta-Integrationsübersicht
Sie können Okta in Sophos Central integrieren.
Sie können zwei Arten der Integration konfigurieren:
- Datenerfassungs-Integration sendet Okta-Authentifizierungs- und Autorisierungsdaten zur Analyse an Sophos.
- Reaktionsmaßnahmen-Integrationen ermöglichen die Verwendung von Okta-Maßnahmen zur Behebung erkannter Probleme. Siehe Reaktionsmaßnahmen.
Auf dieser Seite erhalten Sie einen Überblick über die Integration.
Okta-Produktübersicht
Das Werkzeug IAM von Okta ist ein Cloud-basierter Dienst, der den Benutzerzugriff auf Anwendungen, Systeme und Daten vereinfacht und sichert. Es bietet eine zentrale Plattform für die Verwaltung von Benutzeridentitäten, Authentifizierung, Autorisierung und Single-Sign-On (SSO) über verschiedene Anwendungen und Systeme hinweg.
Sophos-Dokumente
Was wir erfassen
Beispiel für Warnmeldungen, die Sophos gesehen hat:
security.authenticator.lifecycle.activatesecurity.authenticator.lifecycle.createsecurity.authenticator.lifecycle.deactivatesecurity.authenticator.lifecycle.updatesecurity.device.add_request_blacklist_policy
Alarme werden vollständig erfasst
Warnmeldungen werden über die Okta System Log API erfasst, wobei der Ereignistyp einer der folgenden ist:
security.attack.startsecurity.attack_protection.settings.updatesecurity.authenticator.lifecycle.activatesecurity.authenticator.lifecycle.createsecurity.authenticator.lifecycle.deactivatesecurity.authenticator.lifecycle.updatesecurity.behavior.settings.createsecurity.behavior.settings.deletesecurity.behavior.settings.updatesecurity.breached_credential.detectedsecurity.device.add_request_blacklist_policysecurity.device.remove_request_blacklist_policysecurity.device.temporarily_disable_blacklistingsecurity.events.provider.activatesecurity.events.provider.createsecurity.events.provider.deactivatesecurity.events.provider.deletesecurity.events.provider.receive_eventsecurity.events.provider.updatesecurity.events.transmitter.createsecurity.events.transmitter.deletesecurity.events.transmitter.updatesecurity.request.blockedsecurity.session.detect_client_roamingsecurity.threat.configuration.updatesecurity.threat.detectedsecurity.trusted_origin.activatesecurity.trusted_origin.createsecurity.trusted_origin.deactivatesecurity.trusted_origin.deletesecurity.trusted_origin.updatesecurity.voice.add_country_blacklistsecurity.voice.remove_country_blacklistsecurity.zone.make_blacklistsecurity.zone.remove_blacklist
Filterung
Wir fragen den Endpoint der Authentifizierungsprotokolle ab. Siehe Systemprotokoll-API
Wir filtern die Ergebnisse, um nur das Format zu bestätigen.
Beispiele für Bedrohungszuordnungen
Der Warnmeldungstyp wird durch das Feld eventType in Okta definiert.
Beispiel-Alarme:
{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}
Reaktionsmaßnahmen
Sie können eine Integration konfigurieren, damit Sie erkannte Probleme mit Okta-Maßnahmen beheben können.
Folgende Aktionen stehen zur Verfügung:
- Benutzer sperren
- Benutzer entsperren
- Benutzerkennwort ablaufen lassen
- Benutzersession ablaufen lassen
Herstellerdokumentation
Hilfreiche Informationen
Wenn Sie ein Test-Konto verwenden, stellen Sie sicher, dass die URL nicht abgelaufen ist.
Wenn Sie ein MDR-Kunde sind, hat Ihr ausgewählter Reaktionsmodus (z. B. die Zusammenarbeit mit unserem MDR-Team) Vorrang vor den im Rahmen einer Integration eingerichteten Reaktionsmaßnahmen.
API-Token übernehmen die Berechtigungsebene des Admin-Kontos, mit dem sie erstellt werden. Die empfohlenen Administratorrollen mit den geringsten Berechtigungen lauten wie folgt:
- Für eine Datenerfassungs-Integration: Report Admin.
- Für die Integration von Reaktionsmaßnahmen: Org.-Admin.
Weitere Informationen zum Erstellen von Okta API-Token, Administratorrollen und Berechtigungen finden Sie unter: API-Token erstellen.