Okta の統合
Okta を Sophos Central と統合することができます。
次の 2種類の統合を設定できます。
- データ取り込みの統合は、Okta の認証および認証データをソフォスに解析用として送信します。
- 対応アクション統合を使用すると、Okta アクションを使用して検出された問題を解決できます。詳細は、対応アクションを参照してください。
このページでは、統合の概要を説明します。
Okta 製品の概要
Okta の IAM ツールは、アプリケーション、システム、データへのユーザーアクセスを簡素化し、保護するクラウドベースのサービスです。これは、さまざまなアプリケーションやシステムにわたるユーザー ID、認証、認可、シングルサインオン (SSO) を管理するための一元化されたプラットフォームを提供することで機能します。
ソフォス製品ドキュメント
取り込まれる内容
ソフォスで表示される警告の例:
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
完全に取り込まれる警告
Okta System Log API を介して警告を取り込みます。イベントの種類は次のいずれかです。
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
security.device.remove_request_blacklist_policy
security.device.temporarily_disable_blacklisting
security.internal.threat.detected
security.request.blocked
security.session.detect_client_roaming
security.threat.configuration.update
security.threat.detected
security.voice.add_country_blacklist
security.voice.remove_country_blacklist\\
security.zone.make_blacklist
security.zone.remove_blacklist
フィルタリング
認証ログエンドポイントを照会します。System Log API を参照してください。
結果をフィルタリングして、形式のみを確認します。
脅威マッピングの例
警告の種類は Okta フィールド eventType
で定義されます。
警告の例:
{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}
対応アクション
統合を設定すると、Okta アクションを使用して検出された問題を解決できます。
使用可能なアクションは次のとおりです。
- ユーザーの一時停止
- ユーザーの一時停止解除
- ユーザーパスワードを期限切れにする
- ユーザーセッションを期限切れにする
ベンダーのドキュメント
役に立つ情報
評価版アカウントを使用している場合は、URL の有効期限が切れていないことを確認してください。
MDR のお客様の場合、MDR チームとのコラボレーションなど、選択したレスポンスモードは、対応アクションの統合で設定したアクションよりも優先されます。
API トークンは、作成に使用された管理アカウントの権限レベルを継承します。推奨される最低限の権限の管理者ロールは次のとおりです。
- データの取り込みの統合の場合:レポート管理者。
- 対応アクションの統合の場合:組織の管理者。
Okta API トークン、管理者ロール、および権限の作成の詳細については、次を参照してください。Create an API token.