Risque signalé par le fournisseur d'événements de sécurité

Cette détection est enregistrée lorsqu'un partenaire de sécurité intégré comme CrowdStrike ou Omnissa, ou un Courtier de sécurité d'accès au cloud (CASB), envoie un signal à Okta via le Shared Signals Framework (SSF).

Niveau du risque de détection : élevé, moyen ou faible

Il s'agit d'une version automatisée du Risque utilisateur signalé par l'administrateur. Par exemple, si votre fournisseur EDR informe Okta que le niveau de risque de l'appareil d'un utilisateur est passé à Élevé, Okta enregistre cette détection.

Configuration de la politique

Dans votre politique de risques pour l'entité, créez des règles distinctes :

Règle 1

• Détection : risque signalé par le fournisseur d‘événements de sécurité
• Niveau de risques pour l'entité : élevé
• Effectuer cette action : Universal Logout

Règle 2

• Détection : risque signalé par le fournisseur d‘événements de sécurité
• Niveau de risques pour l'entité : moyen
• Effectuer cette action : exécutez un workflow pour notifier un administrateur

Politique de remédiation

1. Action automatisée : la politique applique immédiatement l'action en fonction du signal provenant de l'outil partenaire.

2. Enquête : l'enquête doit être menée dans l'outil source (par exemple, la console EDR). L'Okta System Log affiche l'événement, mais le contexte initial de la modification du risque se trouve dans le système partenaire.

3. Rétablissement de l'accès : l'accès est généralement rétabli automatiquement. Par exemple, lorsque l'outil EDR confirme qu'un appareil est sain, il envoie un nouveau signal « Niveau de risque faible » à Okta. Lorsque Okta abaisse le niveau de risque de l'utilisateur, l'application des mesures prend fin.