Aller au contenu
Découvrez comment nous prenons en charge MDR.

Intégration Okta

Vous pouvez intégrer Okta à Sophos Central.

Vous pouvez configurer deux types d’intégration :

  • L’ingestion de données d'intégration envoie les données d’authentification et d’autorisation Okta à Sophos pour analyse.
  • Une action de réponse vous permet d’utiliser les actions Okta pour résoudre les problèmes détectés. Voir Actions de réponse.

Cette page vous donne une vue générale de l’intégration.

Présentation du produit Okta

L’outil IAM d’Okta est un service cloud qui simplifie et sécurise l’accès des utilisateurs aux applications, aux systèmes et aux données. Il fournit une plate-forme centralisée pour la gestion des identités des utilisateurs, l’authentification, l’autorisation et l’authentification unique (SSO) à travers divers systèmes et applications.

Documents Sophos

Intégrer Okta

Ce que nous ingérons

Exemples d’alertes vues par Sophos :

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

Alertes ingérées dans leur intégralité

Nous ingérons les alertes via l’API Okta System Log lorsque le type d’événement est l’un des suivants :

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.internal.threat.detected
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist\\
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

Filtrage

Nous interrogeons le terminal des journaux d’authentification. Voir API du journal système

Nous filtrons les résultats pour confirmer le format uniquement.

Exemples de mappages de menaces

Le type d’alerte est défini par le champ Okta eventType.

Exemples d’alertes :

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

Actions de réponse

Vous pouvez configurer une intégration qui vous permet d’utiliser les actions Okta pour résoudre les problèmes détectés.

Les actions suivantes sont disponibles :

  • Suspendre l’utilisateur
  • Annuler la suspension de l’utilisateur
  • Expirer le mot de passe de l’utilisateur
  • Expirer la session de l’utilisateur

Documentation fournisseur

API du journal système

Informations utiles

Si vous utilisez un compte d’essai, assurez-vous que l’URL n’a pas expiré.

Si vous êtes client MDR, le mode de réponse aux menaces que vous avez sélectionné (par exemple la collaboration avec nos analystes MDR) remplace les actions configurées dans le cadre d’une intégration des Actions de réponse.

Les jetons API héritent du niveau de privilège du compte administrateur utilisé pour les créer. Les rôles d’administrateur disposant des privilèges les moins élevés recommandés sont les suivants :

  • Pour une intégration d’ingestion de données : Administrateur Rapports.
  • Pour une intégration des Actions de réponse : Administrateur Organisation.

Retrouvez plus de renseignements sur la création de jetons API Okta, de rôles d'administrateur et d’autorisations sur : Créer un jeton d’API