Configurer un récepteur de signaux partagé
Il s'agit d'une fonctionnalité de Identity Threat Protection with Okta AI. Il est proposé avec une prise en charge limitée aux organisations ayant activé la MFA adaptative, et où vous devez recevoir directement le rôle de super administrateur pour exécuter les tâches.
La configuration d'Okta en tant que récepteur de signaux partagés permet à Okta de recevoir des événements liés à la sécurité depuis les applications d'un fournisseur d'événements de sécurité. Cette intégration est basée sur les spécifications OpenID Shared Signals and Events Framework.
Pour configurer l'intégration, les administrateurs doivent recueillir les informations de configuration auprès du fournisseur de sécurité qui envoie les signaux à Okta. Une fois le flux configuré dans l'Admin Console, Okta peut ingérer les signaux de risque sous forme d'événements. Consultez API SSF Security Event Tokens.
Ces signaux informent l'outil d'évaluation du risque et sont signalés en tant que détections de risque d'entité (événements utilisateur.risk.detect) dans Okta. Okta publie également l'événement reçu Shared Signals Framework (SSF) et Continuous Access Evaluation Protocol (CAEP) reçu dans un journal système sous le nom security.events.provider.receive_event. L'évaluation du risque communiquée dans l'événement utilisateur.risk.detect est utilisée par la politique de risque de l'entité pour configurer des actions à l'aide des Workflows, de la révocation de session ou de la Universal Logout. Cela garantit que le risque d'une entité est informé par les interactions avec des zones de menace en dehors de la permission de l'identité, comme l'activité sur un appareil, sur le réseau, au sein d'une app ou avec des données.
L'intégration SSF permet de protéger l'utilisateur Okta, même s'il n'interagit pas avec Okta.
Avant de commencer
Vous devez recevoir le rôle de super administrateur ou un administrateur personnalisé avec le rôle Gérer les flux de récepteurs de Shared Signals Framework et l'ensemble de ressources Tous les récepteurs de Shared Signals Framework.
Pour recevoir des signaux de risque d'un fournisseur d'événements de sécurité, vous devez configurer l'émetteur SSF. Cela se fait dans l'app du fournisseur de sécurité, qui fournit un JWKS (JSON Web Key Set) utilisé dans l'Admin Console pour configurer l'intégration. Consultez la documentation de votre fournisseur de sécurité pour la configuration du transmetteur SSF.
Fournisseurs d'événements de sécurité
Identity Threat Protection with Okta AI (ITP) communique avec Okta Verify en continu pour obtenir des signaux par défaut. ITP reçoit également des signaux de toutes les intégrations de sécurité des points de terminaison prises en charge comme CrowdStrike Falcon et Sécurité Windows (si elle est configurée).
ITP peut également recevoir des signaux de transmetteurs SSF personnalisés (voir Configurer un destinataire SSF et publier un SET) ou des fournisseurs d'événements de sécurité suivants (s'ils sont configurés).
| Fournisseurs de sécurité |
Application |
|---|---|
| AppOmni | Tous les produits |
| Cloudfale | Cloudflare One Enterprise |
| CrowdStrike | Falcon Fusion SOAR |
| CrowdStrike Falcon | Okta Verify |
| Opérations de sécurité Google | Opérations de sécurité Google |
| Jamf | Jamf Security Cloud (Jamf Radar) |
| Netskope | Netskope Cloud Exchange |
| Omnissa (Workspace ONE) | Omnissa Access, Omnissa Intelligence, Workspace ONE |
| Palo Alto Networks | |
| Rubrik | Rubrik Security Cloud (RSC) |
| SGNL | Tous les produits |
| SquareX | SquareX Enterprise |
| SpyCloud | Protection contre le piratage des comptes des employés |
| WideField Security | Tous les produits |
| Centre de sécurité Windows | Okta Verify |
| Zimperium | Mobile Threat Defense (anciennement connu sous le nom de zIPS) |
| Zscaler | Détection avancée |
Configurer l'app du fournisseur d'événements de sécurité
Avant de pouvoir commencer à voir les événements de sécurité dans Okta, vous devez préparer l'app du fournisseur de sécurité pour qu'elle partage des informations avec Okta.
Pour transmettre les signaux de CrowdStrike Falcon ou Sécurité Windows à Okta, vous devez les intégrer à Okta Verify. Consultez plutôt Intégrations de sécurité des points de terminaison.
Dans l'app du fournisseur de sécurité, vous générez les URL JWKS et Émetteur qui sécurisent la transmission des signaux vers votre org Okta.
Ces étapes vous guident dans la configuration d 'Okta en tant que récepteur SSF avec Jamf en tant qu'émetteur. Consultez la documentation de l'app de votre fournisseur de sécurité pour en savoir plus sur les sources de signal et la configuration de l'app du fournisseur de sécurité pour partager des signaux avec Okta.
- Connectez-vous à Jamf en tant que super administrateur.
- Ouvrez .
- Cliquez sur Créer un flux SSF.
- Saisissez le public, qui correspond à l'URL qui identifie le flux. Dans ce cas, le public est votre l'adresse de votre locataire Okta, par exemple, https://your-org.oktapreview.com ou https://your-org.okta.com.
- Cliquez sur Créer.
Lorsque le flux est créé, Jamf renvoie un jeton qui est utilisé par les récepteur SSF qui prennent en charge la découverte automatique. Ce jeton n'est pas utilisé par Okta. Au lieu de cela, copiez l'URL bien connue à saisir dans l'Admin Console.
Recevoir des signaux partagés
Autorisez votre org Okta à recevoir des signaux de sécurité des applications de fournisseurs qui utilisent le SSF. Le SFF vous aide à créer un réseau entre les applications de vos fournisseurs de sécurité, en partageant en permanence des informations de sécurité avec Okta afin de prévenir et d'atténuer les menaces pour la sécurité de vos utilisateurs.
- Dans l'Admin Console, accédez à .
- Cliquez sur l'onglet Recevoir des signaux partagés .
- Cliquez sur Créer un flux.
- Saisissez un Nom de l'intégration.
- Vous pouvez configurer l'intégration avec une URL bien connue ou l'URL de l'émetteur et l'URL JWKS. Ils proviennent du transmetteur des signaux que vous configurez pour qu'Okta les reçoive. Sélectionnez l'intégration qui, dans cet exemple, est l'URL bien connue.
- Collez l'URL de l'app du fournisseur de sécurité dans le champ URL bien connue .
- Cliquez sur Créer.
Si le flux est créé avec succès, il apparaît dans la liste des flux de l'Admin Console. Par défaut, le statut est défini sur Actif .
Si Okta n'a pas été en mesure de créer le flux en raison d'une erreur, un message s'affiche pour vous demander d'ajouter à nouveau le flux. Vérifiez l'URL que vous avez saisie pour vous assurer qu'elle est correcte avant de tenter de connecter à nouveau le flux.
Diffuser des actions en flux continu
Lorsqu'un flux a été créé, il apparaît dans la liste des flux. Tous les flux ajoutés sont Actifs par défaut. Si vous souhaitez modifier, désactiver ou supprimer un flux, cliquez sur Actions et sélectionnez une option dans le menu déroulant.
Surveiller les événements de flux
Après avoir configuré un flux SSF, Okta reçoit des jetons d'événement de sécurité (SET) conformes au CAEP. Les SET informent sur la façon dont Okta calcule le risque de l'entité, et peuvent être consultés dans les événements du journal système security.events.provider.receive_event.
Un administrateur peut surveiller un flux SSF de plusieurs manières :
- Affichez le contenu SET dans les événements du journal système security.events.provider.receive_event.
- Assurez-vous qu'elles sont regroupées dans les événements utilisateur.risk.detect .
- Consultez la documentation du fournisseur de sécurité sur le type d'événements de risque pris en charge pour la transmission qui peuvent être reçus ou affichés dans Okta.
- Utilisez le Rapport sur les risques d'entité pour consulter les risques pour l'entité qu'Okta a détectés.
Si votre org n'a pas activé ITP, les événements de votre journal système sont limités. Consultez Événements Identity Threat Protection dans le journal système.
Rubriques connexes
Intégrations de la sécurité des points de terminaison