Integración de Okta
Puede integrar Okta con Sophos Central.
Puede configurar dos tipos de integración:
- Una integración Ingesta de datos envía datos de autenticación y autorización de Okta a Sophos para su análisis.
- Una integración Acción de respuesta le permite utilizar acciones de Okta para resolver problemas detectados. Consulte Acciones de respuesta.
Esta página presenta una visión general de la integración.
Resumen del producto Okta
La herramienta de IAM de Okta es un servicio basado en la nube que simplifica y protege el acceso de los usuarios a las aplicaciones, los sistemas y los datos. Proporciona una plataforma centralizada para gestionar las identidades de los usuarios, la autenticación, la autorización y el inicio de sesión único (SSO) en varias aplicaciones y sistemas.
Documentos de Sophos
Datos que ingerimos
Ejemplos de alertas vistas por Sophos:
security.authenticator.lifecycle.activatesecurity.authenticator.lifecycle.createsecurity.authenticator.lifecycle.deactivatesecurity.authenticator.lifecycle.updatesecurity.device.add_request_blacklist_policy
Alertas ingeridas en su totalidad
Ingerimos alertas a través de la API de registro del sistema de Okta en que el tipo de evento es uno de los siguientes:
security.authenticator.lifecycle.activatesecurity.authenticator.lifecycle.createsecurity.authenticator.lifecycle.deactivatesecurity.authenticator.lifecycle.updatesecurity.device.add_request_blacklist_policysecurity.device.remove_request_blacklist_policysecurity.device.temporarily_disable_blacklistingsecurity.internal.threat.detectedsecurity.request.blockedsecurity.session.detect_client_roamingsecurity.threat.configuration.updatesecurity.threat.detectedsecurity.voice.add_country_blacklistsecurity.voice.remove_country_blacklist\\security.zone.make_blacklistsecurity.zone.remove_blacklist
Filtrado
Consultamos la estación de trabajo de los registros de autenticación. Consulte API de registro del sistema
Filtramos los resultados para confirmar solo el formato.
Muestra de asignaciones de amenazas
El tipo de alerta está definido por el campo de Okta eventType.
Alertas de muestra:
{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}
Acciones de respuesta
Puede configurar una integración que le permita usar acciones de Okta para resolver los problemas detectados.
Las acciones disponibles son las siguientes:
- Suspender al usuario
- Revocar la suspensión del usuario
- Forzar la caducidad de la contraseña del usuario
- Forzar la caducidad de la sesión del usuario
Documentación del proveedor
Información útil
Si utiliza una cuenta de prueba, asegúrese de que la URL no haya caducado.
Si es cliente de MDR, el modo de respuesta a amenazas que haya seleccionado, por ejemplo, la colaboración con nuestros analistas de MDR, anula las acciones que haya configurado en una integración Acciones de respuesta.
Los tokens de API heredan el nivel de privilegios de la cuenta de administrador utilizada para crearlos. Los roles de administrador con privilegios mínimos recomendados son los siguientes:
- Para una integración Ingesta de datos: administrador de informes.
- Para una integración Acciones de respuesta: administrador de la organización
Para obtener más información sobre la creación de tokens de API de Okta, roles de administrador y permisos, consulte: Crear un token de API