Intégration Okta
Vous pouvez intégrer Okta à Sophos Central.
Vous pouvez configurer deux types d’intégration :
- L’ingestion de données d'intégration envoie les données d’authentification et d’autorisation Okta à Sophos pour analyse.
- Une action de réponse vous permet d’utiliser les actions Okta pour résoudre les problèmes détectés. Voir Actions de réponse.
Cette page vous donne une vue générale de l’intégration.
Présentation du produit Okta
L’outil IAM d’Okta est un service cloud qui simplifie et sécurise l’accès des utilisateurs aux applications, aux systèmes et aux données. Il fournit une plate-forme centralisée pour la gestion des identités des utilisateurs, l’authentification, l’autorisation et l’authentification unique (SSO) à travers divers systèmes et applications.
Documents Sophos
Ce que nous ingérons
Exemples d’alertes vues par Sophos :
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
Alertes ingérées dans leur intégralité
Nous ingérons les alertes via l’API Okta System Log lorsque le type d’événement est l’un des suivants :
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
security.device.remove_request_blacklist_policy
security.device.temporarily_disable_blacklisting
security.internal.threat.detected
security.request.blocked
security.session.detect_client_roaming
security.threat.configuration.update
security.threat.detected
security.voice.add_country_blacklist
security.voice.remove_country_blacklist\\
security.zone.make_blacklist
security.zone.remove_blacklist
Filtrage
Nous interrogeons le terminal des journaux d’authentification. Voir API du journal système
Nous filtrons les résultats pour confirmer le format uniquement.
Exemples de mappages de menaces
Le type d’alerte est défini par le champ Okta eventType
.
Exemples d’alertes :
{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}
Actions de réponse
Vous pouvez configurer une intégration qui vous permet d’utiliser les actions Okta pour résoudre les problèmes détectés.
Les actions suivantes sont disponibles :
- Suspendre l’utilisateur
- Annuler la suspension de l’utilisateur
- Expirer le mot de passe de l’utilisateur
- Expirer la session de l’utilisateur
Documentation fournisseur
Informations utiles
Si vous utilisez un compte d’essai, assurez-vous que l’URL n’a pas expiré.
Si vous êtes client MDR, le mode de réponse aux menaces que vous avez sélectionné (par exemple la collaboration avec nos analystes MDR) remplace les actions configurées dans le cadre d’une intégration des Actions de réponse.
Les jetons API héritent du niveau de privilège du compte administrateur utilisé pour les créer. Les rôles d’administrateur disposant des privilèges les moins élevés recommandés sont les suivants :
- Pour une intégration d’ingestion de données : Administrateur Rapports.
- Pour une intégration des Actions de réponse : Administrateur Organisation.
Retrouvez plus de renseignements sur la création de jetons API Okta, de rôles d'administrateur et d’autorisations sur : Créer un jeton d’API