Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Integración de Okta

Puede integrar Okta con Sophos Central.

Puede configurar dos tipos de integración:

  • Una integración Ingesta de datos envía datos de autenticación y autorización de Okta a Sophos para su análisis.
  • Una integración Acción de respuesta le permite utilizar acciones de Okta para resolver problemas detectados. Consulte Acciones de respuesta.

Esta página presenta una visión general de la integración.

Resumen del producto Okta

La herramienta de IAM de Okta es un servicio basado en la nube que simplifica y protege el acceso de los usuarios a las aplicaciones, los sistemas y los datos. Proporciona una plataforma centralizada para gestionar las identidades de los usuarios, la autenticación, la autorización y el inicio de sesión único (SSO) en varias aplicaciones y sistemas.

Documentos de Sophos

Integrar Okta

Datos que ingerimos

Ejemplos de alertas vistas por Sophos:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

Alertas ingeridas en su totalidad

Ingerimos alertas a través de la API de registro del sistema de Okta en que el tipo de evento es uno de los siguientes:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.internal.threat.detected
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist\\
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

Filtrado

Consultamos la estación de trabajo de los registros de autenticación. Consulte API de registro del sistema

Filtramos los resultados para confirmar solo el formato.

Muestra de asignaciones de amenazas

El tipo de alerta está definido por el campo de Okta eventType.

Alertas de muestra:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

Acciones de respuesta

Puede configurar una integración que le permita usar acciones de Okta para resolver los problemas detectados.

Las acciones disponibles son las siguientes:

  • Suspender al usuario
  • Revocar la suspensión del usuario
  • Forzar la caducidad de la contraseña del usuario
  • Forzar la caducidad de la sesión del usuario

Documentación del proveedor

API de registro del sistema

Información útil

Si utiliza una cuenta de prueba, asegúrese de que la URL no haya caducado.

Si es cliente de MDR, el modo de respuesta a amenazas que haya seleccionado, por ejemplo, la colaboración con nuestros analistas de MDR, anula las acciones que haya configurado en una integración Acciones de respuesta.

Los tokens de API heredan el nivel de privilegios de la cuenta de administrador utilizada para crearlos. Los roles de administrador con privilegios mínimos recomendados son los siguientes:

  • Para una integración Ingesta de datos: administrador de informes.
  • Para una integración Acciones de respuesta: administrador de la organización

Para obtener más información sobre la creación de tokens de API de Okta, roles de administrador y permisos, consulte: Crear un token de API