跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=okta-overview

Okta整合概觀

API 身分

您可以將 Okta 與 Sophos Central 整合。

您可以設定兩種整合:

  • 將 Okta 身分驗證和授權資料傳送至 Sophos 進行分析。
  • 允許您使用 Okta 動作來解決偵測到的問題。請參閱 回應動作

本頁面提供此整合功能的概覽。

Okta 產品概觀

Okta 的 IAM 工具是一種基於雲端的服務,可簡化並保護使用者對應用程式、系統和資料的存取。它的工作原理是提供一個集中式平台,用於跨各種應用程式和系統管理使用者身分、身分驗證、授權和單一登入 (SSO)。

Sophos 文件資訊

整合 Okta

資料擷取內容

Sophos 可擷取的範例警示包括:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

完整擷取警示

我們透過 Okta 系統日誌 API 收取警示,其中事件類型為以下之一:

  • security.attack.start
  • security.attack_protection.settings.update
  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.behavior.settings.create
  • security.behavior.settings.delete
  • security.behavior.settings.update
  • security.breached_credential.detected
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.events.provider.activate
  • security.events.provider.create
  • security.events.provider.deactivate
  • security.events.provider.delete
  • security.events.provider.receive_event
  • security.events.provider.update
  • security.events.transmitter.create
  • security.events.transmitter.delete
  • security.events.transmitter.update
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.trusted_origin.activate
  • security.trusted_origin.create
  • security.trusted_origin.deactivate
  • security.trusted_origin.delete
  • security.trusted_origin.update
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

資料篩選

我們查詢了授權記錄端點。請參閱系統日誌 API

我們篩選結果以確認僅格式。

威脅對應範例

警示類型由 Okta 欄位 eventType 定義。

警示示例:

{"alertType": "application.user_membership.add", "threatId": "T1484.001", "threatName": "Group Policy Modification"}
{"alertType": "application.user_membership.change_password", "threatId": "T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap", "threatId": "T1087", "threatName": "Account Discovery"}

回應動作

您可以配置一個整合,讓您使用Okta操作來解決檢測到的問題。

可用的參數如下所示。

  • 暫停使用者
  • 取消暫停使用者
  • 過期使用者密碼
  • 終止使用者工作階段

原廠文件

系統記錄 API

有用資訊

如果您使用試用帳戶,請確保 URL 未過期。

如果您是 MDR 客戶,您選取的回應模式(例如與我們的 MDR 團隊協作)將覆寫此處設定的回應動作。

API 權杖會繼承建立其的管理員帳戶的權限等級。建議的最低權限管理員角色如下:

  • 針對資料擷取整合:由管理員報告:
  • 針對回應操作整合:組織管理員。

有關如何建立 Okta API 令牌、管理員角色和權限的更多資訊,請參閱:正在建立 API 權杖