OktaとDefender for Identityの統合を試してみた(メモ)
マイクロソフトが提供するID脅威検知ソリューション「Microsoft Defender for Identity(以下、MDI)」が、「Okta」の保護機能を繰り出してきました[1]。MDIといえば、Active Directory の保護ソリューションでありますが、Oktaにもカバー範囲を拡大した形となります。
簡単に触ってみたのでメモをあげておきます。
設定方法
非常に簡単で、改めて書くまでもないと思ったので書きません。ライセンス要件等、詳しくはMicrosoft Learnのページをご覧ください。
何ができるようになるのか?
Oktaのセキュリティスコアの表示
セキュリティスコアの項目の中に、Oktaが加わり、APIトークンの権限の範囲が広いなどの脆弱な設定を検出し、改善の機会を提供してくれます。
インシデント検知・調査・レスポンス(ITDR)
MDIにOktaのログを取り込むことで、Oktaの侵害の検知のルールを書けるようになります。
また、侵害時の調査に関して、従来は、Oktaの管理画面とADのログ、さらには各種SaaSのログを個別に突き合わせ、手作業で情報を関連付ける必要がありました。SIEMがあり、ログを連携している場合は場合はSIEMで相関分析ができますが、DefenderポータルのAdvanced Huntingでできるようになりました。Defender for Identityのタイムライン上にADでの不審な挙動と並べて表示されるため、攻撃者がオンプレミスとクラウドをどのように横断して侵害を試みているかを直感的に理解できます。
侵害を検知した際にアカウントを無効化する検知した際に、アカウントの無効化などのアクションができます。
使ってみてどうだったのか?
SOCでレスポンスするメンバーがOktaのアカウントを持たなくて良くなるかな?
SOC(Security Operations Center)でレスポンスを担当するメンバーが、Oktaの個別アカウントを持たなくても、Defenderポータル上で一元的に調査・対応できるようになりました。これにより、アカウント管理の負荷軽減と、インシデント対応の迅速化が期待できます。
特に24365の監視を行うSOCがある場合は、メンバー数もそれなりの数のメンバーが在籍することになります。そんなメンバー1人1人にOktaの管理者権限アカウントを付与していたら、大変ですし、逆にリスクです。Defenderポータルで作業が完結できるのは非常に良い傾向だと感じました。
統合はもうすこし
現時点ではシームレスにOktaとMDIが統合されたとは言い難い状況でした。例えば、Advanced Huntingの検索結果にて、AccountObjectIdというカラムがありますが、そのカラムをクリックしてもユーザーのページには遷移されません。期待動作としては、Advanced Huntingで検出したものは、シームレスにユーザーページに飛ばしてほしいと思うので、その点は是非改善いただきたいです。(変わりに、OktaのIDには、AccountObjectIdではなく、Cloud IDが付与されているみたいです。)
導入を検討すべき組織
以下の条件を満たす組織には、検証をお勧めします:
- Okta Enterpriseライセンスを保有
- Microsoft Defender for Identity(E5ライセンスなど)を利用中
- オンプレミスADとクラウドIDの統合的なセキュリティ監視が必要
- SOCでの一元的なインシデント対応を求めている
おわりに
Microsoft Defender for IdentityのOkta統合機能は、ハイブリッド環境でのID脅威検知において大きな前進です。現時点では一部機能に改善の余地があるものの、統合的なセキュリティ監視の実現に向けた重要な一歩と言えるでしょう。
両製品のライセンスをお持ちの贅沢な組織は、ぜひ一度検証してみることをお勧めします。今後のアップデートにも注目していきたいと思います。
Discussion