共有シグナルレシーバーを構成する
これはアイデンティティ脅威保護の機能です。Adaptive MFAが有効化されているorgに限定されたサポートで提供され、タスクを実行するにはスーパー管理者ロールが直接割り当てられる必要があります。
Oktaを共有シグナルレシーバーとして構成すると、Oktaがセキュリティ関連のイベントをセキュリティイベントプロバイダーのアプリから受信できるようになります。この統合は、OpenID Shared SignalsとEvents Frameworkの仕様を基にしています。
統合をセットアップするには、管理者は、Oktaにシグナルを送信するセキュリティプロバイダーから構成の詳細情報を収集する必要があります。Admin Consoleでストリームを構成すると、Oktaはシグナルをイベントとして取り込めるようになります。SSFセキュリティイベントトークンAPIを参照してください。
これらのシグナルはリスクエンジンに情報を伝え、Oktaではエンティティリスクの検出(user.risk.detectイベント)としてレポートされます。Oktaは、受信したShared Signals Framework(SSF)およびContinuous Access Evaluation Protocol(CAEP)イベント(システムログイベントではsecurity.events.provider.receive_event)のパブリッシュも行います。user.risk.detectイベントで伝達されるリスク評価は、Workflows、セッション取り消し、またはUniversal Logoutを使ってエンティティリスクポリシーがアクションを構成する際に使用されます。これにより、デバイス上、ネットワーク上、アプリ内のアクティビティのようなIDのスコープ外の脅威面とのインタラクションやデータとのインタラクションによってエンティティのリスクが確実に通知されます。
SSFの統合により、Oktaとインタラクションしていない場合でもOktaユーザーを保護できます。
開始する前の確認事項
スーパー管理者ロール、またはShared Signals Frameworkレシーバーのストリームを管理(Manage shared signals framework receiver streams)ロールとすべてのShared Signals Frameworkレシーバー(All Shared Signals Framework receivers)リソースセットを持つカスタム管理者が必要です。
セキュリティイベントプロバイダーからリスクシグナルを受信するには、SSFトランスミッターを構成する必要があります。これは、セキュリティプロバイダーのアプリで行われ、統合を構成するためにAdmin Consoleで使用されるJWKS(JSON Webキーセット)が提供されます。SSFトランスミッターの構成については、セキュリティプロバイダーのドキュメントを参照してください。
アイデンティティ脅威保護(ITP)はデフォルトでOkta Verifyを継続的にポーリングして、シグナルを取得します。また、ITPはCrowdStrike FalconやWindowsセキュリティセンター(構成されている場合)など、対応のエンドポイントセキュリティ統合からもシグナルを取得します。
ITPは、カスタムSSFトランスミッター(「SSFレシーバーを構成してSETを公開する」を参照)、または以下のセキュリティイベントプロバイダー(構成されている場合)から信号を受信することもできます。
| セキュリティプロバイダー |
アプリ |
|---|---|
| AppOmni | 全製品 |
| Cloudflare | Cloudflare One Enterprise |
| CrowdStrike | Falcon Fusion SOAR |
| CrowdStrike Falcon | Okta Verify |
| Google Security Operations | Google Security Operations |
| Jamf | Jamf Security Cloud(Jamf Radar) |
| Netskope | Netskope Cloud Exchange |
| Omnissa(Workspace ONE) | Omnissa Access、Omnissa Intelligence、Workspace ONE |
| Palo Alto Networks | |
| Rubrik | Rubrik Security Cloud(RSC) |
| SGNL | 全製品 |
| SquareX | SquareX Enterprise |
| SpyCloud | 従業員アカウント乗っ取り防御 |
| Widefield Security | 全製品 |
| Windowsセキュリティセンター | Okta Verify |
| Zimperium | 旧称「zIPS」(Mobile Threat Defense) |
| Zscaler | Advanced Deception |
Oktaでセキュリティイベントを表示するには、事前にOktaと情報を共有するようにセキュリティプロバイダーのアプリを準備する必要があります。
CrowdStrike FalconやWindowsセキュリティセンターからOktaにシグナルを送信するには、それらをOkta Verifyに統合する必要があります。エンドポイントセキュリティ統合を参照してください。
セキュリティプロバイダーのアプリで発行者とJWKSのURLを生成してOkta orgへのシグナルの送信を保護します。
次の手順に従ってOktaをSSFレシーバー、Jamfをトランスミッターとしてセットアップします。シグナルソース、およびシグナルをOktaと共有するためのセキュリティプロバイダーアプリの構成については、セキュリティプロバイダーアプリのドキュメントを参照してください。
- Jamfにスーパー管理者としてサインインします。
- を開きます。
- 新規SSFストリームを作成(Create new SSF stream)をクリックします。
- オーディエンスを入力します。これは、ストリームを識別するURLです。この場合のオーディエンスは、Oktaテナントのアドレス(たとえば、
https://your-org.oktapreview.com、https://your-org.asqula.comなど)です。 - 作成(Create)をクリックします。
ストリームが作成されると、Jamfはトークンを返します。SSFレシーバーは、自動検出のサポートにこのトークンを使用します。このトークンは、Oktaでは使用されません。代わりに良く知られたURL(Well-known URL)をコピーしてAdmin Consoleに入力します。
Okta orgがSSFを使ってプロバイダーアプリからのセキュリティシグナルを受信できるようにします。SSFはセキュリティプロバイダーアプリ間にネットワークを作成し、セキュリティ情報を継続的にOktaと共有してユーザーに対するセキュリティ脅威を防止および緩和する上で役立ちます。
- Admin Consoleでに移動します。
- 共有シグナルを受信(Receive shared signals)タブをクリックします。
- ストリームを作成(Create stream)をクリックします。
- 統合名(Integration name)を入力します。
- 良く知られたURLまたは発行者URLとJWKS URLを使用して統合をセットアップできます。これらは、Oktaによる受信を構成するシグナルのトランスミッターから送信されます。統合(この例では良く知られたURL)を選択します。
- セキュリティプロバイダーアプリからのURLを良く知られたURL(Well-known URL)フィールドに貼り付けます。
- 作成(Create)をクリックします。
ストリームが正しく作成されると、Admin Consoleのストリームリストに表示されます。デフォルトでは、ステータスはアクティブ(Active)に設定されます。
エラーによってOktaがストリームを作成できない場合、ストリームを追加し直すように求めるメッセージが表示されます。ストリームの再接続を試みる前に、入力したURLが正しいことを確認してください。
ストリームアクション
ストリームが作成されると、ストリームリストに表示されます。デフォルトでは、追加されたすべてのストリームはアクティブ(Active)です。ストリームを編集、非アクティブ化、または削除するには、アクション(Actions)をクリックしてドロップダウンメニューからオプションを選択します。
ストリームイベントを監視する
SSFストリームを構成すると、OktaはCAEPに準拠するセキュリティイベントトークン(SET)を受信するようになります。SETはエンティティリスクの計算方法をOktaに伝えます。これは、security.events.provider.receive_eventというシステムログイベントで確認できます。
管理者は、いくつかの方法でSSFストリームを監視できます。
security.events.provider.receive_eventというシステムログイベント内のSETコンテンツを表示します。- それが
user.risk.detectイベントでカプセル化されていることを確認します。 - Oktaで受信または表示できる、送信がサポートされるリスクイベントのタイプについては、セキュリティプロバイダーのドキュメントを参照してください。
- Oktaが検出したエンティティリスクを表示するには、エンティティリスクレポート(Entity risk report)を使用します。
orgでITPが有効化されていない場合、システムログイベントは制限されます。システムログのIdentity Threat Protectionイベントを参照してください。
関連項目