最近ニュースになったMGMリゾートに対する攻撃では、Oktaの管理者アカウントが侵害されました。IdPが広範に利用されている現在では、Oktaのアクティビティ監視が重要になっています。SysdigでOkta IdPのなりすまし攻撃を検知する方法の詳細については、下記ブログをご参照ください。
本記事では、SysdigでOktaの脅威検知を実現する手順についてご紹介します。本機能はPreview版になります。
OktaへのSysdigアプリケーションの追加
-
Okta管理画面のApplicationsに移動し、Browse App Catalog をクリックします。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2Fdc408407-5fee-b77f-110b-c3a449db94e8.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=10a3ad6d861b3b62041acedd970aea82)
-
検索欄に sysdig と入力し、Sysdig アプリケーションを選択します。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2F5508713c-6d2d-4039-d387-a01043671636.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=b0be44a0f3bf87c4158a2fca9a4c7f58)
-
Add Integration をクリックします。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2Fd633605a-3d43-4afc-5367-499fce34211a.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=8e56ac8429976938fee636e69f11d275)
-
Install & Authorize をクリックします。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2Fb2cf6097-a838-95d0-d386-eeb8790926f9.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=b05115ae1a9309f7e21018332bbe57ba)
-
表示されたシークレットをコピーします。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2Fa1b9b758-8a4d-7805-3d32-7ef6195b1347.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=a7ed3c36d0f2812f5445e3e538a6ebe2)
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2F92994fab-233c-4d32-7e02-91107c169768.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=8eab26b1ca0fa2fae5ff2e34075c4a98)
Sysdig UI側でのOkta連携設定
-
Sysdig UIの左側メニューから Integrations > Event & Logs に移動し、Add Integration をクリックします。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2Fb2ea4725-5c5d-2429-91ae-30c19e808e70.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=eed8ff4da54f112d434b2de90392a87f)
-
Okta Domainを入力し、Next をクリックします。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2F1667b566-e013-f947-f21d-86b1d083f951.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=6371145c4be525404f904dd2fbcae3a5)
-
先ほどコピーした Client Secret と Client ID を入力し、Validate をクリックします。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2Fa5e445ed-3067-4657-4f63-f947565f6165.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=2b393b0eca886be4601b5c8bee8e05c5)
-
接続検証に成功し、Connected と表示されることを確認し、Close をクリックします。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2F4ef6f990-74c5-05ce-7112-863693421ef7.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=c6f1f20af297f4e2ed720df5ebbb1ad6)
-
連携したOktaドメインが一覧画面に登録されていることを確認します。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2F6a79887c-fa60-1229-7d29-849f9ba4e088.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=8fdfe6549f6c269af9463d10ab12532d)
Oktaランタイム脅威検知ポリシーの有効化
- 左側メニューの Policies > Runtime Policies に移動し、検知テストのために全てのOktaポリシーを有効化します(ポリシー名の左側のトグルスイッチで有効化)。
Oktaイベントの検知テスト
-
Okta管理画面からユーザーを Suspend します。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2F3d5c2179-76e2-29bf-a2b3-44098a96f626.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=e53db59465bcbe6fbdbca0e3d8e3ae6d)
-
Sysdig UIの左側メニューから Events > Events Feed に移動し、User has been suspended in Okta イベントを検知していることを確認します。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2F1891b669-30fc-b5a7-52b2-d7547bb92731.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=9c0c0c3537da98ef4ed60e7c54a1c858)
-
Okta管理画面から、Suspendしたユーザを再び Activate します。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2Fa142ab45-4873-2ffd-85cd-01b05a5c6e53.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=4a7357c8eb2f9dd0c703285cb5a217a0)
-
Sysdig UIで User has been moved from suspended status in Okta イベントを検知していることを確認します。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2F745cb4e6-5afd-3d23-5d6c-6e7d6d340c7c.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=5bfa7877dc18ef85b4302546d1ebd2db)
-
その他にも様々なイベントを検知可能です。
![image.png](https://qiita-user-contents.imgix.net/https%3A%2F%2Fqiita-image-store.s3.ap-northeast-1.amazonaws.com%2F0%2F2802821%2Fc578f03a-6939-e868-7847-f7c2a21b41e1.png?ixlib=rb-4.0.0&auto=format&gif-q=60&q=75&s=01d1948506925d808502312406c66e8e)
まとめ
SysdigとOktaを簡単に連携させ、OktaアクティビティをSysdigで監視し、疑わしいイベントを検知できることが確認できました。