跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

Okta集成

您可以將 Okta 與 Sophos Central 整合。

您可以設定兩種整合:

  • Data Ingest集成將Okta身份驗證和授權數據發送給Sophos進行分析。
  • Response動作整合可讓您使用Okta動作來解決偵測到的問題。請參閱回應動作

此頁面提供集成的概述。

Okta產品概述

Okta 的 IAM 工具是一種基於雲端的服務,可簡化並保護使用者對應用程式、系統和資料的存取。它的工作原理是提供一個集中式平台,用於跨各種應用程式和系統管理使用者身分、身分驗證、授權和單一登入 (SSO)。

Sophos文檔

集成Okta

我們攝取的東西

Sophos看到的示例警報:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy

已擷取完整警示

我們通過Okta系統日誌API獲取警報,其中事件類型為以下類型之一:

  • security.authenticator.lifecycle.activate
  • security.authenticator.lifecycle.create
  • security.authenticator.lifecycle.deactivate
  • security.authenticator.lifecycle.update
  • security.device.add_request_blacklist_policy
  • security.device.remove_request_blacklist_policy
  • security.device.temporarily_disable_blacklisting
  • security.internal.threat.detected
  • security.request.blocked
  • security.session.detect_client_roaming
  • security.threat.configuration.update
  • security.threat.detected
  • security.voice.add_country_blacklist
  • security.voice.remove_country_blacklist\\
  • security.zone.make_blacklist
  • security.zone.remove_blacklist

篩選

我們查詢驗證日誌終結點。請參閱 系統日誌API

我們篩選結果僅確認格式。

威脅映射示例

警報類型由Okta欄位定義 eventType

警報示例:

{"alertType": “application.user_membership.add"”,“ThreatId”:"T1484.001", "threatName": "Group Policy Modification"}
{"alertType": “application.user_membership.change_password"”,“ThreatId”:"T1098", "threatName": "Account Manipulation"}
{"alertType": "system.agent.ad.read_ldap""threatId""T1087", "threatName": "Account Discovery"}

回應動作

您可以設定整合,讓您使用Okta動作來解決偵測到的問題。

可用的操作如下:

  • 暫停使用者
  • 取消暫停使用者
  • 使用戶密碼失效
  • 使用戶會話過期

供應商文檔

系統日誌API

有用資訊

如果您使用的是試用帳戶,請確保URL未過期。

如果您是MDR客戶,您選擇的威脅響應模式(例如與我們的MDR分析師協作)將覆蓋您在響應操作集成中設定的操作。

API令牌繼承用於創建它們的管理員帳戶的權限級別。建議的最低權限管理員角色如下:

  • 對於Data Ingest集成:報告管理
  • 對於響應操作集成:組織管理

有關創建Okta API令牌,管理員角色和權限的更多資訊,請參閱:正在建立 API 權杖