Ajouter et configurer un connecteur Okta

Vous pouvez ajouter une connexion Okta à votre console Endpoint Defense pour afficher les alertes Okta dans la vue Alertes. La vue Alertes permet aux administrateurs d'afficher les alertes d'autorisation et d'accès Okta à partir d'une interface unifiée. Le connecteur Okta utilise l'API d'évènements Okta pour afficher la télémétrie des évènements dans la vue Alertes. Les évènements d'anomalie d'utilisateur Okta agrégés dans la vue Alertes incluent les tentatives de connexion utilisateur suspectes et les évènements de demandes de sécurité bloquées. En regroupant les évènements Okta dans ces catégories, vous bénéficiez d'une plus grande visibilité sur les tentatives de connexion de tiers, les connexions erronées des utilisateurs et les tentatives de connexion d'adresses IP sources suspectes.

Vous pouvez ajouter une connexion Okta à votre console Endpoint Defense pour afficher les alertes Okta dans la vue Alertes. La vue Alertes permet aux administrateurs d'afficher les alertes d'autorisation et d'accès Okta à partir d'une interface unifiée. Le connecteur Okta utilise l'API d'évènements Okta pour afficher la télémétrie des évènements dans la vue Alertes. Les évènements d'anomalie d'utilisateur Okta agrégés dans la vue Alertes incluent les tentatives de connexion utilisateur suspectes et les évènements de demandes de sécurité bloquées. En regroupant les évènements Okta dans ces catégories, vous bénéficiez d'une plus grande visibilité sur les tentatives de connexion de tiers, les connexions erronées des utilisateurs et les tentatives de connexion d'adresses IP sources suspectes.

La vue Alertes regroupe les demandes provenant d'adresses IP interdites dans la base d'utilisateurs de votre entreprise afin de fournir des informations sur les modèles ou campagnes possibles. Les données affichées peuvent également contenir des informations sur le terminal source de la tentative d'accès, ce qui vous permet de déterminer si la demande provient d'un humain ou d'une machine.

Pour plus d'informations sur la configuration de Okta pour générer des alertes à afficher dans la vue Alertes, consultez les ressources suivantes :

Pour plus d'informations sur la vue Alertes, reportez-vous à la section Gestion des alertes sur les services Aurora Endpoint Security dans le contenu relatif à l'administration.

  1. Préparez votre compte Okta :
    1. Documenter l'URL de baseOkta.

      Vous devez documenter l'URL de base Okta de votre environnement pour l'utiliser lors de la configuration du connecteur Okta. L'URL de base Okta correspond à l'URL de production de votre serveur Okta.

      Pour en savoir plus sur la localisation de votre URL de base Okta, consultez la section Find your Okta Domain dans la documentation Okta.

    2. Créer un administrateur Okta

      Vous devez créer un administrateur Okta pour utiliser l'API Okta. Arctic Wolf recommande de créer un utilisateur dédié lié au jeton d'API à l'étape 3. Cette étape est recommandée, car elle facilite l'audit des flux de travail et permet d'éviter que les autres utilisateurs de Okta créent des jetons et les utilisent dans les flux d'opérations de sécurité.

      Pour en savoir plus sur la création d'un administrateur Okta, consultez la section Create an admin role assignment using an admin dans la documentation Okta.

    3. Créer un jeton d'API Okta

      Vous devez créer un jeton d'API Okta pour authentifier les demandes auprès de l'API Okta.

      Pour en savoir plus sur la création d'un jeton d'API Okta, consultez la section API token management dans la documentation Okta.

  2. Dans la barre de menus de la console Endpoint Defense, cliquez sur Paramètres > Connecteurs.
  3. Cliquez sur Ajouter un connecteur > Okta.
  4. Dans la section Informations générales, saisissez un nom pour le connecteur.
  5. Dans la section Configuration d'Okta, spécifiez l'URL de l'API de service Okta, le jeton d'API Okta et la fréquence d'interrogation.
    Remarque : Arctic Wolf recommande de conserver la valeur par défaut de la fréquence d'interrogation, sauf si votre organisation a défini une valeur seuil spécifique.
  6. Cliquez sur Test de connexion.
  7. Cliquez sur Enregistrer.
Affichez et gérez les alertes dans la vue Alertes. Reportez-vous à la section Gestion des alertes sur les services Endpoint Defense dans le contenu relatif à l'administration.