イベントフックを構成する
イベントフック(またはウェブフック)は、Identity Security Posture Management(ISPM)が組織で新たな問題を検出した際に、外部システムに対して自動的に行うアウトバウンドコールです。イベントフックを使用して、セキュリティシステムへの通知の送信、サービス管理チケットの作成、またはアプリ全体でのデータ共有を行うことができます。また、SOAR(Security Orchestration, Automation, and Response)のワークフローと統合することで、インシデントの修復アクションをトリガーすることもできます。
開始する前に
- ISPMがイベントを送信する外部システムにインラインウェブフックURLを作成します。
- ウェブフックエンドポイントのURLをコピーします。これは、ISPMがアウトバウンドコールを行うエンドポイントです。
- APIキーを生成し、コピーします。このキーは、ウェブフック要求の認証に使用されます。
このタスクを開始する
-
Identity Security Posture Managementコンソールで、 に移動します。
- [Webhook(ウェブフック)]タイルで、[Connect(接続)]をクリックします。
- [Webhook Address (URL)(ウェブフックアドレスのURL)]フィールドに、外部システムからコピーしたウェブフックのエンドポイントのURLを入力します。
- 外部システムでのウェブフックの設定に基づいて、[Query Parameters(クエリパラメーター)]または[HTTP Headers(HTTPヘッダー)]を選択します。この設定により、ISPMが送信するウェブフックメッセージ内のAPIキーの位置が決まります。
- [Key(キー)]フィールドに、外部システムから取得したクエリパラメーターまたはヘッダー名を入力します。
- [Value(値)]フィールドにAPIキーを入力します。
- 任意。+をクリックして外部システムで必要とされるパラメーターをさらに追加し、手順5と6を繰り返します。
- 任意。[Test connection(接続のテスト)]をクリックしてイベントフックをテストします。
- 任意。外部システムがテスト用のJSONメッセージを受信したことを確認します。テストメッセージは、以下のサンプルメッセージに似たものとなります。
コピー
{
"id": "f73a7741-6980-4d44-b0bf-13a2fa7ac556",
"timestamp": "2024-06-09T14:56:58Z",
"source": "Okta ISPM",
"type": "issue.created",
"eventData": {
"id": "Alert_V32uL3CHijlQYHq-uqTkqWOXSJ8~",
"category": "Least Privilege",
"severity": "High",
"title": "Unused Admin Account",
"fullDescription": "Admin Accounts not logged in interactively for 91 days.",
"shortDescription": "Admin Accounts not logged in interactively for 91 days.",
"detectedAt": "2024-06-18",
"suggestedRemediation": "Assess the essentiality of listed accounts; disable or suspend as necessary.",
"riskAndImpact": "Unused, unmonitored accounts attract threat actors for gaining initial access or elevated permissions.",
"frameworks": [
"SOX",
"PCI-DSS v4.0"
],
"link": "https://{your-ISPM-url}/issues/Alert_V32uL3CHijlQYHq-uqTkqWOXSJ8~",
"affectedEntity": {
"id": "Account_Q1SMRm3vfzomaZwevHIoL9kVhWU~",
"type": "Account",
"displayName": "john.smith@okta.com",
"sourceProductName": "Okta",
"sourceProductTenant": "example.okta.com",
"additionalData": {
"types": [
"Admin"
],
"lastLogin": "03/28/2024"
}
}
}
} - [Save(保存)]をクリックします。
自動化を有効にする
イベントフックを作成したら、ISPMが外部システムに通知する問題タイプを選択し、フックを有効にします。
ISPMは、新しい問題を検出した場合にのみ、外部システムに通知します。
-
Identity Security Posture Managementコンソールで、 に移動します。
- [Webhook(ウェブフック)]タイルで、[Automate webhook(ウェブフックの自動化)]をクリックします。
- [Auto-send notification(通知を自動送信)]設定を有効にします。
- [Send notifications when the issue type is(問題の種類が以下の場合に通知を送信)]ドロップダウンメニューから、ISPMが外部システムに通知すべき問題を選択します。
- [Apply Automation(自動化を適用)]をクリックします。