Okta 프로필

개요

Panther에서 Okta 로그 소스 통합을 구성하여 다음을 가져오도록 설정할 수 있습니다 사용자 프로필 및 디바이스 프로필 Panther 관리 보강(Enrichment)으로. 이는 탐지 로직 및 검색 쿼리에서 프로필 및 디바이스 데이터를 사용할 수 있음을 의미합니다.

Okta에서 사용자 프로필을 사용자 지정하려면 다음을 따라할 수 있습니다 그들의 문서. 탐지 로직에서 유용할 수 있는 사용자 지정 속성(예: 해당 사용자에게 예상되는 권한 수준)을 추가하는 것을 고려할 수 있습니다.

다음을 배우십시오 여기에 저장된 보강 데이터를 조회하세요.

탐지 예시 사용 사례

탐지에서 Okta 사용자 및 디바이스 프로필 데이터를 활용할 수 있습니다. 다음 예시 사용 사례를 참조하세요:

• 작업이 수행된 디바이스가 전화기이며 행위자가 시스템 관리자(System Administrator)가 아닌 경우를 탐지합니다.

• 해고된 직원이 수행한 작업을 탐지합니다. 이는 오프보딩이 완료되지 않았음을 나타낼 수 있습니다.

• 탐지 구성에서 이벤트 행위자의 직책에 따라 경고 심각도 수준을 조정합니다. 예를 들어, 시스템 관리자가 일부 작업을 수행한 경우 알림 함수(Alert function) 심각도 수준을 사용할 수 있지만 severity 다른 역할을 가진 사용자가 수행한 경우에는

Panther에서 Okta 사용자 및 디바이스 프로필 설정 방법

Okta 로그 소스 통합을 Panther에 처음 설정할 때 또는 나중에 소스를 편집하여 Okta 사용자 및 디바이스 프로필을 구성할 수 있습니다.

어느 흐름에서든 Okta 프로필 가져오기 설정을 켠 다음 프로필 데이터를 새로 고치는 주기를 설정합니다.

Okta 디바이스 프로필 전제 조건

• Okta 디바이스 프로필을 Panther로 가져오려면 다음이 필요합니다 Okta Devices 활성화되어 있어야 합니다.

Okta 소스 설정 중 Panther에서 Okta 프로필 구성

• 다음 지침을 따르세요 Panther에서 새로운 Okta 소스를 생성하는 방법에 대한 이 지침을따라, 다음을 특히 주의하여 확인하세요 사용자 프로필 활성화 및 디바이스 프로필 활성화 필드.

Okta 소스 설정 후 Panther에서 Okta 프로필 구성

이미 Panther에 Okta 로그 소스를 생성한 후 다음 중 하나를 통해 Okta 프로필을 설정할 수 있습니다 에서 보강 제공자 탭 로그/리소스 유형별로 규칙을 폴더로 그룹화하는 것을 권장합니다(예: 콘솔의 로그 소스 탭 에서.

지원되는 프로필 유형

Panther는 Okta에서 다음을 가져오는 것을 지원합니다 사용자 프로필 및 디바이스 프로필 아래는 각 프로필 유형의 데이터가 어떻게 구조화되는지에 대한 스키마입니다.

Okta.Users

Okta.Devices

예시: 탐지에서 Okta 프로필 데이터 사용

Okta 사용자 또는 디바이스 프로필을 설정하고 데이터가 가져와지면 해당 데이터를 탐지 로직에서 참조할 수 있습니다.

다음과 같은 Okta 사용자 프로필이 주어졌을 때:

그리고 다음과 같은 수신 이벤트:

탐지를 거치기 전에 이벤트는 Okta 프로필 데이터로 보강되어 다음과 같이 됩니다:

그런 다음 다음과 같이 Okta 프로필 데이터를 참조하는 탐지를 작성할 수 있습니다: