EDR統合のしくみ

Okta Verifyをエンドポイント検出および応答(EDR)ソリューションと統合することで、Okta Verifyは、Oktaサーバーとエンド・ユーザーのデバイスでサービスを実行しているEDRベンダー間のデバイス状態統合レイヤーとして機能するようになります。保護されたリソースにユーザーがアクセスしようとすると、Okta Verifyでデバイスのコンテキストと信頼シグナルを調査し、その情報をOktaサーバーに送信します。サーバーはこの情報をOktaアプリのサインオン・ポリシーと照合して評価し、アクセスの可否についての判断に役立てます。

現在、OktaはCrowdStrikeおよびMicrosoft Windowsセキュリティ・センターとの統合をサポートしています。今後、さらに多くのEDRベンダーのサポートが予定されています。

こちらで、そのしくみの概要を説明しています。

  1. プラグインでは、同一のデバイスで実行されているEDRクライアントとローカルで通信する方法をOkta Verifyに指示します。
    • WindowsWindowsセキュリティ・センタープラグインは、Okta Verifyがデバイスにインストールされると自動的に作成されます。CrowdStrike ZTAプラグインをインストールするには、インストール・コマンドでフラグを指定します。Windows向けEDR統合プラグインを管理するを参照してください。
    • macOS:このプラグインは、管理対象アプリの構成をデバイス管理ソリューションから対象のmacOSデバイスにプッシュすると有効になります。 macOS向けEDR統合プラグインを管理するを参照してください。
  2. プラグインは、ユーザーがOkta Verifyをオーセンティケーターとして使用して、EDRシグナルを必要とするアプリのサインオン・ポリシーで保護されたリソースにアクセスするたびに呼び出されます。
  3. Okta Verifyでプラグインによって収集されたシグナルをキャプチャして、要求に応じてOktaサーバーに提供します。
  4. EDRシグナルは、最大8時間またはセッションがタイムアウトするまでの時間のいずれかで短い方が経過すると、Oktaでキャッシュに保存されます。キャッシュは、新しいシグナルが処理されるたびに更新されます。
  5. Oktaサーバーでシグナルをアプリのサインオン・ポリシーと照合して評価し、リソースへのアクセスを許可または拒否します。
  6. 何らかの理由でアクセスが拒否された場合:
    • 「要求されたアクションを実行する権限がありません」 というメッセージが表示されます。
    • これに応じて、サインオン・ポリシーの評価によって結果的にアクセスが拒否されたことを確認するsyslogメッセージが生成されます。管理者は、syslogメッセージのコンテキストとEDRダッシュボード内の情報を評価して、アクセスが拒否された理由を特定することができます。