Okta集成
您可以將 Okta 與 Sophos Central 整合。
您可以設定兩種整合:
- Data Ingest集成將Okta身份驗證和授權數據發送給Sophos進行分析。
- Response動作整合可讓您使用Okta動作來解決偵測到的問題。請參閱回應動作。
此頁面提供集成的概述。
Okta產品概述
Okta 的 IAM 工具是一種基於雲端的服務,可簡化並保護使用者對應用程式、系統和資料的存取。它的工作原理是提供一個集中式平台,用於跨各種應用程式和系統管理使用者身分、身分驗證、授權和單一登入 (SSO)。
Sophos文檔
我們攝取的東西
Sophos看到的示例警報:
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
已擷取完整警示
我們通過Okta系統日誌API獲取警報,其中事件類型為以下類型之一:
security.authenticator.lifecycle.activate
security.authenticator.lifecycle.create
security.authenticator.lifecycle.deactivate
security.authenticator.lifecycle.update
security.device.add_request_blacklist_policy
security.device.remove_request_blacklist_policy
security.device.temporarily_disable_blacklisting
security.internal.threat.detected
security.request.blocked
security.session.detect_client_roaming
security.threat.configuration.update
security.threat.detected
security.voice.add_country_blacklist
security.voice.remove_country_blacklist\\
security.zone.make_blacklist
security.zone.remove_blacklist
篩選
我們查詢驗證日誌終結點。請參閱 系統日誌API
我們篩選結果僅確認格式。
威脅映射示例
警報類型由Okta欄位定義 eventType
。
警報示例:
{"alertType": “application.user_membership.add"”,“ThreatId”:"T1484.001", "threatName": "Group Policy Modification"}
{"alertType": “application.user_membership.change_password"”,“ThreatId”:"T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap","threatId":"T1087", "threatName": "Account Discovery"}
回應動作
您可以設定整合,讓您使用Okta動作來解決偵測到的問題。
可用的操作如下:
- 暫停使用者
- 取消暫停使用者
- 使用戶密碼失效
- 使用戶會話過期
供應商文檔
有用資訊
如果您使用的是試用帳戶,請確保URL未過期。
如果您是MDR客戶,您選擇的威脅響應模式(例如與我們的MDR分析師協作)將覆蓋您在響應操作集成中設定的操作。
API令牌繼承用於創建它們的管理員帳戶的權限級別。建議的最低權限管理員角色如下:
- 對於Data Ingest集成:報告管理
- 對於響應操作集成:組織管理
有關創建Okta API令牌,管理員角色和權限的更多資訊,請參閱:正在建立 API 權杖