Évaluation du risque

L'ITP pour l'AMFA n'est pas disponible dans Classic Engine. Consultez Mettre à niveau vers Classic Engine

Dans le cadre de l'évaluation du risque, un moteur basé sur les données détermine si un événement de connexion donné représente ou non une activité malveillante potentielle. Okta attribue un niveau de risque à chaque tentative de connexion en examinant différentes informations, notamment :

  • L'adresse IP à l'origine de la demande de connexion ;
  • Le comportement de l'utilisateur à l'origine de la demande de connexion ;
  • Les tentatives de connexion ayant précédemment about ou échoué ;
  • Les informations de routage associées à la demande.

Sur la base de ces informations, vous pouvez configurer des politiques d'authentification personnalisées pour différents scénarios en fonction du niveau de risque. Dans le cas où une tentative de connexion est évaluée et identifiée comme présentant un risque « élevé », vous pouvez demander une authentification supplémentaire avant d'autoriser l'accès.

L'outil d'évaluation du risque identifie automatiquement toute tentative de connexion d'un nouvel utilisateur comme étant un événement à risque « élevé ». À chaque nouvelle tentative d'authentification réussie, l'outil d'évaluation du risque collecte davantage d'informations sur l'activité et les habitudes de connexion de l'utilisateur et évalue les tentatives de connexion suivantes en fonction de ce référentiel.

L'évaluation du risque est conçue pour compléter, et non remplacer, les outils de sécurité existants. Ne l'utilisez pas pour les activités suivantes :

  • Remplacer la gestion des bots ou la détection de l'automatisation ;
  • Remplacer les pare-feux d'application Web
  • Faciliter n'importe quel type de conformité de la sécurité.

Informations liées au risque dans les événements du Journal système

Les événements du Journal système enregistrent des informations sur la façon dont le niveau de risque a été déterminé pour chaque tentative d'authentification. Par exemple, le niveau de risque pour un événement de connexion peut être basé sur une combinaison des facteurs suivants :

  • Emplacement inhabituel
  • Appareil inhabituel
  • Suspicion de menace basée sur la fonction de détection Okta ThreatInsight

Pour en savoir plus sur l'évaluation du risque d'un événement, accédez à DebugContext et DebugData.

Évaluation du risque dans le Journal système avec DebugData.

Dans cet exemple, le niveau de risque pour cette tentative de connexion est MOYEN parce que votre utilisateur s'est connecté à l'aide d'un nouvel appareil, comme indiqué par la mention raisons=Appareil anormal.

Vous pouvez constater que le champ ThreatSuspected est false, même si le niveau de risque est MOYEN. Si la tentative de connexion provenait d'une adresse IP suspectée d'activité potentiellement malveillante, le champ ThreatSuspected indiquerait true.

Vous pouvez aussi interroger le Journal système pour visualiser tous les événements présentant un niveau de risque spécifique. Par exemple, pour afficher la liste des événements identifiés comme présentant un niveau de risque MOYEN, vous pouvez filtrer le Journal système à l'aide de la requête suivante :

debugContext.debugData.risk co "level=MEDIUM"

Pour afficher la liste des événements identifiés comme présentant un niveau de risque ÉLEVÉ, vous pouvez filtrer le Journal système à l'aide de la requête suivante :

debugContext.debugData.risk co "level=HIGH"

Pour afficher la liste des événements identifiés comme présentant un niveau de risque FAIBLE, vous pouvez filtrer le Journal système à l'aide de la requête suivante :

debugContext.debugData.risk co "level=LOW"

Par défaut, Okta évalue le niveau de risque de chaque demande de connexion ainsi que les changements de comportement des utilisateurs. Les résultats de l'évaluation des risques et du comportement sont ajoutés à la section DebugContext du Journal système dans le champ Journaliser seulement les données de sécurité. Consultez Évaluation des risques et détection du comportement.

Configurer l'évaluation des risques

Vous pouvez ajouter l'évaluation du risque en tant que condition pour toute application ou règle de politique d'authentification Oktaen paramétrant le champ AND Risk is (ET que le niveau de risque est) sur Faible, Modéré ou Élevé, dans le cadre d'une règle. Par défaut, ce niveau de risque est défini sur N'importe lequel.

Suivez ces étapes pour configurer l'évaluation du risque.

  1. Créez une politique d'authentification Okta et configurez la règle associée. Consultez Configurer une politique d'authentification Okta.
  2. Créez une politique d'authentification à l'app et configurez la règle associée. Consultez Configurer une politique d'authentification à l'application.
  3. Sélectionnez la condition ET Le risque est, puis sélectionnez un niveau de risque et enregistrez la règle.

Rubriques liées

À propos de Okta ThreatInsight

À propos de la détection du comportement

Évaluation du risque et détection du comportement