Dépanner les problèmes de zone du réseau à l'aide du System Log

Utilisez le System Log pour examiner les événements de sécurité dans votre org et déterminer quelles catégories de services IP appartiennent à votre zone dynamique améliorée.

Recherche par requêtes de sécurité bloquées

security.request.blocked est l'événement principal pour le suivi des blocs d'adresses IP au niveau de l'org. Elle est déclenchée lorsque la demande d'un utilisateur est refusée sur la base de la configuration de la zone du réseau de votre org avec l'option Bloquer l'accès à partir des IP remplissant les conditions répertoriée dans ce paramètre de zone.

  1. Dans Admin Console, accédez à RapportsSystem Log.

  2. Recherchez le type d'événement security.request.blocked.
  3. Dans les événements, développez les sections IpDetails > IPServiceCategories.
    • IsAnyonymous : indique si l'IP est associée à un service d'anonymisation.
    • Opérateur : identifie le VPN, le proxy ou le fournisseur de services spécifique.
    • Type : catégorise le service IP détecté (VPN, Proxy, Tor).
  4. Développez la section Target > DetailsEntry.
    • ZoneIdMatch : indique le numéro d'identification interne de la zone.
    • ZoneNameMatch : indique le nom de la zone. Il peut s'agir d'un nom personnalisé ou d'un nom de zone défini par Okta.
    • DisplayName : affiche la zone du réseau correspondante.
    • type : affiche la liste de refus.

Recherche par événements d'authentification

policy.evaluate_sign_on est déclenché lorsque la requête d'un utilisateur provient d'une zone du réseau configurée avec vos règles de politique de connexion.

  1. Dans Admin Console, accédez à RapportsSystem Log.

  2. Recherchez le type d'événement policy.evaluate_sign_on.
  3. Dans les événements, développez les sections IpDetails > IPServiceCategories.
    • IsAnyonymous : indique si l'IP est associée à un service d'anonymisation.
    • Opérateur : identifie le VPN, le proxy ou le fournisseur de services spécifique.
    • Type : catégorise le service IP détecté (VPN, Proxy, Tor).
  4. Développez la section Target > DetailsEntry.
    • ZoneIdMatch : indique le numéro d'identification interne de la zone.
    • ZoneNameMatch : indique le nom de la zone. Il peut s'agir d'un nom personnalisé ou d'un nom de zone défini par Okta. Ces zones sont associées aux règles de politique d'authentification d'Okta ou de politique d’authentification à l'application.

Interroger le System Log

Exécutez ces requêtes pour afficher les événements triés par catégorie de service IP.

Catégorie de service IP

Définition

Interrogation du journal système
ALL_PROXIES_VPN Toutes les catégories de services IP suivantes sont incluses request.ipChain.ipDetails.ipServiceCategories.type eq "Proxy" or request.ipChain.ipDetails.ipServiceCategories.type eq "VPN"
ALL_ANONYMIZERS Comprend les services TOR et de tunnel request.ipChain.ipDetails.ipServiceCategories.isAnonymous eq "true"
ALL_ANONYMIZERS_EXCEPT_TOR Inclut tous les services de tunnel, exclut TOR request.ipChain.ipDetails.ipServiceCategories.type ne "Tor" and request.ipChain.ipDetails.ipServiceCategories.isAnonymous eq "true"
ANONYMIZER_TOR Catégorie de service spécifique pour l'anonymiseur TOR request.ipChain.ipDetails.ipServiceCategories.type eq "Tor"
Catégories de services de proxy individuels (par opérateur) Rechercher un opérateur spécifique, par exemple EXPress_VPN request.ipChain.ipDetails.ipServiceCategories.operator eq "EXPRESS_VPN"

Ajouter des catégories de services IP à votre zone dynamique améliorée

Vous pouvez utiliser les zones dynamiques améliorées en tant que listes de refus pour les types de catégories de services IP, ou elles peuvent définir les conditions de politique que les utilisateurs doivent remplir pour se connecter.

Liste de blocage

  1. Dans l'Admin Console, accédez à SécuritéRéseaux.

  2. Sélectionnez la zone dynamique améliorée dans laquelle vous souhaitez ajouter des catégories de services IP.
  3. Sélectionnez Bloquer l'accès à partir des IP remplissant les conditions.
  4. Configurez les champs Catégorie de service IP en indiquant les catégories que vous avez identifiées, puis cliquez sur Enregistrer.

Liste d'autorisation

  1. Dans l'Admin Console, accédez à SécuritéRéseaux.

  2. Sélectionnez la zone dynamique améliorée dans laquelle vous souhaitez ajouter des catégories de services IP.
  3. Désactivez l'option Bloquer l'accès aux adresses IP répondant aux critères.
  4. Configurez les champs Catégorie de service IP en indiquant les catégories que vous avez identifiées, puis cliquez sur Enregistrer.
  5. Ajoutez la zone que vous avez configurée à votre politique d'authentification d'Okta ou politique d’authentification à l'application. Les deux stratégies comportent un champ L'adresse IP de l'utilisateur est qui vous permet de spécifier les zones à inclure ou à exclure.

Rubriques connexes

Zones dynamiques améliorées

Catégories de services IP pris en charge