Okta 통합 개요

Okta를 Sophos Central과 통합할 수 있습니다.

두 가지 종류의 통합을 구성할 수 있습니다.

• 분석을 위해 Okta 인증 및 권한 부여 데이터를 Sophos로 보냅니다.
• Okta 작업를 사용하여 감지된 문제를 해결할 수 있습니다. 대응 조치을 참조하십시오.

이 페이지에서는 통합에 대한 개요를 제공합니다.

Okta 제품 개요

Okta의 IAM 도구는 애플리케이션, 시스템 및 데이터에 대한 사용자 액세스를 단순화하고 보호하는 클라우드 기반 서비스입니다. 다양한 애플리케이션과 시스템 전반에 걸쳐 사용자 ID, 인증, 권한 부여, SSO(Single Sign-On)를 관리하기 위한 중앙 집중식 플랫폼을 제공하는 방식으로 작동합니다.

Sophos 문서

Okta 통합

수집되는 것

Sophos에서 볼 수 있는 샘플 경고:

• security.authenticator.lifecycle.activate
• security.authenticator.lifecycle.create
• security.authenticator.lifecycle.deactivate
• security.authenticator.lifecycle.update
• security.device.add_request_blacklist_policy

완전히 수집되는 경고

Okta 시스템 로그 API를 통해 알림을 수신합니다. 여기서 이벤트 유형은 다음 중 하나입니다:

• security.attack.start
• security.attack_protection.settings.update
• security.authenticator.lifecycle.activate
• security.authenticator.lifecycle.create
• security.authenticator.lifecycle.deactivate
• security.authenticator.lifecycle.update
• security.behavior.settings.create
• security.behavior.settings.delete
• security.behavior.settings.update
• security.breached_credential.detected
• security.device.add_request_blacklist_policy
• security.device.remove_request_blacklist_policy
• security.device.temporarily_disable_blacklisting
• security.events.provider.activate
• security.events.provider.create
• security.events.provider.deactivate
• security.events.provider.delete
• security.events.provider.receive_event
• security.events.provider.update
• security.events.transmitter.create
• security.events.transmitter.delete
• security.events.transmitter.update
• security.request.blocked
• security.session.detect_client_roaming
• security.threat.configuration.update
• security.threat.detected
• security.trusted_origin.activate
• security.trusted_origin.create
• security.trusted_origin.deactivate
• security.trusted_origin.delete
• security.trusted_origin.update
• security.voice.add_country_blacklist
• security.voice.remove_country_blacklist
• security.zone.make_blacklist
• security.zone.remove_blacklist

필터링

인증 로그 엔드포인트를 쿼리합니다. 시스템 로그 API

결과를 필터링하여 형식만 확인합니다.

샘플 위협 매핑

알림 유형은 Okta 필드 eventType에 의해 정의됩니다.

경고 샘플:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

대응 조치

Okta 액션을 사용하여 감지된 문제를 해결하는 통합을 구성할 수 있습니다.

사용 가능한 매개 변수는 다음과 같습니다.

• 사용자 일시 중단
• 사용자 일시 중단 해제
• 사용자 암호 만료
• 사용자 세션 만료

공급업체 설명서

시스템 로그 API

유용한 정보

체험 계정을 사용 중이라면 URL이 만료되지 않았는지 확인하십시오.

MDR 고객인 경우 선택한 대응 모드(예: MDR 팀과 협업)가 여기에서 설정된 대응 조치보다 우선합니다.

API 토큰은 그들을 생성하는 관리자 계정의 권한 수준을 상속합니다. 권장하는 최소 권한 관리자 역할은 다음과 같습니다:

• 데이터 수집 통합을 위한 관리자가 보고한 사항:
• 응답 작업 통합을 위해: 조직 관리자.

Okta API 토큰, 관리자 역할 및 권한 생성에 대한 자세한 정보는 다음을 참조하십시오: API 토큰 만들기