Okta コネクタの追加と設定

Endpoint Defense コンソールに Okta 接続を追加して、[アラート]表示で Okta アラートを表示できます。[アラート]表示を使用すると、管理者は 1 つの統合インターフェイスから Okta 認証を表示し、アラートにアクセスできます。Okta コネクタは、[アラート]表示でイベントテレメトリを表示するために Okta イベント API を使用します。[アラート]表示に集約された Okta ユーザー異常イベントには、疑わしいユーザーログイン試行およびブロックされたセキュリティ要求イベントが含まれます。Okta イベントをこれらのカテゴリに集約することで、サードパーティによるログイン試行、ユーザーによる誤りのあるログイン、および疑わしいソース IP アドレスからのログイン試行の可視性が向上します。

Endpoint Defense コンソールに Okta 接続を追加して、[アラート]表示で Okta アラートを表示できます。[アラート]表示を使用すると、管理者は 1 つの統合インターフェイスから Okta 認証を表示し、アラートにアクセスできます。Okta コネクタは、[アラート]表示でイベントテレメトリを表示するために Okta イベント API を使用します。[アラート]表示に集約された Okta ユーザー異常イベントには、疑わしいユーザーログイン試行およびブロックされたセキュリティ要求イベントが含まれます。Okta イベントをこれらのカテゴリに集約することで、サードパーティによるログイン試行、ユーザーによる誤りのあるログイン、および疑わしいソース IP アドレスからのログイン試行の可視性が向上します。

[アラート]表示では、会社のユーザーベース全体で禁止された IP アドレスからのリクエストを集約して、考えられるパターンまたはキャンペーンを把握できます。また、表示されたデータには、アクセス試行のソースデバイスに関する情報も含まれていることがあります。これにより、要求が人によって行われたか、機械によって行われたかを判断できます。

[アラート]表示に表示できるアラートを生成するための Okta の設定の詳細については、次のリソースを参照してください。

[アラート]表示の詳細については、管理関連の資料の「Aurora Endpoint Security サービスにわたるアラートの管理」を参照してください。

  1. 次のように Okta アカウントを準備します。
    1. Okta ベース URL の文書化。

      Okta コネクタの設定中に使用する環境の Okta ベース URL を文書化する必要があります。Okta ベース URL は、Okta サーバーのプロダクション URL になります。

      Okta ベース URL を見つけることに関する詳細については、Okta ドキュメントの「Okta ドメインの確認」を参照してください。

    2. Okta 管理者の作成

      Okta API を使用するには、Okta 管理者を作成する必要があります。Arctic Wolf では、手順 3 で API トークンにリンクされている専用ユーザーを作成することをお勧めします。この手順はワークフローの監査に役立つため、推奨されています。これは他の Okta ユーザーがセキュリティ操作ワークフロー用に作成および使用されるトークンを持っていないようにするためのベストプラクティスです。

      Okta 管理者の作成に関する詳細については、Okta ドキュメントの「admin を使用した管理者ロール割り当ての作成」を参照してください。

    3. Okta API トークンの作成

      Okta API への要求を認証するには、Okta API トークンを作成する必要があります。

      Okta API トークンの作成に関する詳細については、Okta ドキュメントの「API トークンの管理」を参照してください。

  2. Endpoint Defense コンソールのメニューバーで、[設定] > [コネクタ]をクリックします。
  3. [コネクタを追加] > [Okta]をクリックします。
  4. [全般情報]セクションで、コネクタの名前を入力します。
  5. [Okta の設定]セクションで、Okta サービス API の URL、Okta API トークン、およびポーリング頻度を指定します。
    注: Arctic Wolf では、組織の特定のレート制限要件がない限り、ポーリング頻度をデフォルト値のままにすることをお勧めします。
  6. [テスト接続]をクリックします。
  7. [保存]をクリックします。
[アラート]表示でアラートを表示および管理します。管理関連の資料の「Endpoint Defense サービスにわたるアラートの管理」を参照してください。