Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Integração do OKTA

Você pode integrar o Okta ao Sophos Central.

Você pode configurar dois tipos de integração:

  • A integração Ingestão de dados, que envia dados de autenticação e autorização do Okta para a Sophos para análise.
  • A integração Ação de resposta, que permite que você use ações do Okta para resolver problemas detectados. Consulte Ações de resposta.

Esta página lhe dá uma visão geral da integração.

Visão geral do produto Okta

A ferramenta IAM do Okta é um serviço baseado na nuvem que simplifica e protege o acesso do usuários a aplicativos, sistemas e dados. Funciona em uma plataforma centralizada para o gerenciamento de identidade de usuários, autenticação, autorização e logon único (SSO) em vários aplicativos e sistemas.

Documentação da Sophos

Integrar o Okta

O que ingerimos

Exemplos de alertas vistos pela Sophos:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

Alertas ingeridos na íntegra

Ingerimos alertas através da Okta System Log API em que o tipo de evento é um dos seguintes:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.internal.threat.detected
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist\\
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

Filtragem

Consultamos o endpoint de logs de autenticação. Consulte System Log API

Filtramos os resultados para confirmar apenas o formato.

Amostra de mapeamentos de ameaças

O tipo de alerta é definido pelo campo eventType do Okta.

Exemplos de alertas:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

Ações de resposta

Você pode configurar uma integração que lhe permita usar ações do Okta para resolver problemas detectados.

As ações disponíveis são as seguintes:

  • Suspender usuário
  • Cancelar suspensão do usuário
  • Expirar a senha do usuário
  • Expirar a sessão do usuário

Documentação do fornecedor

System Log API

Informações úteis

Se estiver usando uma conta de avaliação, assegure-se de que a URL não tenha expirado.

Se você for um cliente MDR, seu modo de resposta a ameaças selecionado, como, por exemplo, em colaboração com nossos analistas MDR, substitui as ações de resposta configuradas em uma integração Ações de resposta.

Os tokens de API herdam o nível de privilégio da conta de administrador usada para criá-los. As funções de administrador de privilégios mínimos recomendadas são as seguintes:

  • Para uma integração de Ingestão de Dados: Report Admin.
  • Para uma integração de Ações de Resposta: Org Admin.

Para obter mais informações sobre como criar tokens de API, funções de administrador e permissões do Okta, consulte: Create an API token.