イベントフックを構成する

イベントフック(またはウェブフック)は、Identity Security Posture Management(ISPM)が組織で新たな問題を検出した際に、外部システムに対して自動的に行うアウトバウンドコールです。イベントフックを使用して、セキュリティシステムへの通知の送信、サービス管理チケットの作成、またはアプリ全体でのデータ共有を行うことができます。また、SOAR(Security Orchestration, Automation, and Response)のワークフローと統合することで、インシデントの修復アクションをトリガーすることもできます。

開始する前に

  1. ISPMがイベントを送信する外部システムにインラインウェブフックURLを作成します。
  2. ウェブフックエンドポイントのURLをコピーします。これは、ISPMがアウトバウンドコールを行うエンドポイントです。
  3. APIキーを生成し、コピーします。このキーは、ウェブフック要求の認証に使用されます。

このタスクを開始する

  1. Identity Security Posture Managementコンソールで、[Settings(設定)][Outbound integrations(アウトバウンド統合)]に移動します。

  2. [Webhook(ウェブフック)]タイルで、[Connect(接続)]をクリックします。
  3. [Webhook Address (URL)(ウェブフックアドレスのURL)]フィールドに、外部システムからコピーしたウェブフックのエンドポイントのURLを入力します。
  4. 外部システムでのウェブフックの設定に基づいて、[Query Parameters(クエリパラメーター)]または[HTTP Headers(HTTPヘッダー)]を選択します。この設定により、ISPMが送信するウェブフックメッセージ内のAPIキーの位置が決まります。
  5. [Key(キー)]フィールドに、外部システムから取得したクエリパラメーターまたはヘッダー名を入力します。
  6. [Value(値)]フィールドにAPIキーを入力します。
  7. 任意。+をクリックして外部システムで必要とされるパラメーターをさらに追加し、手順5と6を繰り返します。
  8. 任意。[Test connection(接続のテスト)]をクリックしてイベントフックをテストします。
  9. 任意。外部システムがテスト用のJSONメッセージを受信したことを確認します。テストメッセージは、以下のサンプルメッセージに似たものとなります。
    コピー
    {
    "id": "f73a7741-6980-4d44-b0bf-13a2fa7ac556",
    "timestamp": "2024-06-09T14:56:58Z",
    "source": "Okta ISPM",
    "type": "issue.created",
    "eventData": {
        "id": "Alert_V32uL3CHijlQYHq-uqTkqWOXSJ8~",
        "category": "Least Privilege",
        "severity": "High",
        "title": "Unused Admin Account",
        "fullDescription": "Admin Accounts not logged in interactively for 91 days.",
        "shortDescription": "Admin Accounts not logged in interactively for 91 days.",
        "detectedAt": "2024-06-18",
        "suggestedRemediation": "Assess the essentiality of listed accounts; disable or suspend as necessary.",
        "riskAndImpact": "Unused, unmonitored accounts attract threat actors for gaining initial access or elevated permissions.",
        "frameworks": [
        "SOX",
        "PCI-DSS v4.0"
        ],
        "link": "https://{your-ISPM-url}/issues/Alert_V32uL3CHijlQYHq-uqTkqWOXSJ8~",
        "affectedEntity": {
            "id": "Account_Q1SMRm3vfzomaZwevHIoL9kVhWU~",
            "type": "Account",
            "displayName": "john.smith@okta.com",
            "sourceProductName": "Okta",
            "sourceProductTenant": "example.okta.com",
        "additionalData": {
            "types": [ 
           "Admin"
            ],
            "lastLogin": "03/28/2024"
            }
        }
    }
    }
  10. [Save(保存)]をクリックします。

自動化を有効にする

イベントフックを作成したら、ISPMが外部システムに通知する問題タイプを選択し、フックを有効にします。

ISPMは、新しい問題を検出した場合にのみ、外部システムに通知します。

  1. Identity Security Posture Managementコンソールで、[Settings(設定)][Outbound integrations(アウトバウンド統合)]に移動します。

  2. [Webhook(ウェブフック)]タイルで、[Automate webhook(ウェブフックの自動化)]をクリックします。
  3. [Auto-send notification(通知を自動送信)]設定を有効にします。
  4. [Send notifications when the issue type is(問題の種類が以下の場合に通知を送信)]ドロップダウンメニューから、ISPMが外部システムに通知すべき問題を選択します。
  5. [Apply Automation(自動化を適用)]をクリックします。