リスクスコアリング
リスクスコアリングでは、データ主導のリスクエンジンを使用して、各サインインイベントが異常なアクティビティを表す可能性が高いかどうかを判断します。Oktaは、次のような情報を評価して、各サインインの試行にリスクレベルを割り当てます。
- サインイン要求に使用されるIPアドレス。
- サインイン要求を行ったユーザーの行動に関する情報。
- 以前に成功および失敗したサインインの試行
- リクエストに関連付けられたルーティング情報
このリスク評価情報は、サインインイベントのリスクレベルに基づいて異なるアクションを実行するようにサインオンポリシールールを構成するときに使用できます。たとえば、リスク状態を評価するようにOkta Sign-on Policyを構成する場合、Oktaではデバイスの詳細やロケーションなどの情報を使用して、サインイン試行のリスクレベルを判断します。管理者は、サインインの試行に割り当てられたリスクレベルに基づいて異なるアクションを実行するようにポリシーを構成できます。サインイン試行が評価され、「high(高)」リスクと識別された場合、アクセスを許可する前に追加の認証が必要になる場合があります。
リスクエンジンは、すべての新規ユーザーのサインオンの試行を自動的に「high(高)」リスクとして識別します。その後サインオンの試行が成功するたびに、リスクエンジンはユーザーのサインオンアクティビティとパターンに関する詳細情報を収集し、このベースラインに関連した後続のサインインの試行を評価します。
リスクスコアリングは、既存のセキュリティツールを置き換えるものではなく補完するように設計されています。以下の目的には使用しないでください。
- ボット管理または自動検出の代替
- Webアプリケーションファイアウォール(WAF)の置換
- 任意のタイプのセキュリティコンプライアンスの補佐
System Logイベントのリスク関連情報
System Logには、認証の試行ごとにリスクレベルがどのように決定されたかに関する情報が記録されます。たとえば、サインインイベントに割り当てられるリスクレベルは、次の要素の任意の組み合わせに基づく場合があります。
- 異常な場所
- 異常なデバイス
- Okta ThreatInsightの検出に基づく疑わしい脅威
イベントのリスク評価の詳細を表示するには、DebugContextおよびDebugDataに移動します。例:
この例では、このサインオン試行のリスクレベルは「MEDIUM(中)」です。これは、reasons=Anomalous Deviceで示されているように、ユーザーが新しいデバイスを使用してサインオンしたためです。
リスクレベルが「Medium(中)」であるにもかかわらず、[ThreatSuspected]フィールドが[false]になっていることに気付くかもしれません。このサインオン試行が潜在的に悪意のあるアクティビティを行う疑いのあるIPアドレスからのものであった場合、[ThreatSuspected]フィールドには[true]が表示されます。
System Logをクエリして、特定のリスクレベルのすべてのイベントを表示することもできます。たとえば、リスクレベルが「MEDIUM(中)」と識別されたイベントのリストを表示するには、次のクエリを使用してSystem Logをフィルターできます。
debugContext.debugData.risk eq "{level=MEDIUM}"
リスクレベルが「HIGH(高)」と識別されたイベントのリストを表示するには、次のクエリを使用してSystem Logをフィルターできます。
debugContext.debugData.risk eq "{level=HIGH}"
リスクレベルが「LOW(低)」と識別されたイベントのリストを表示するには、次のクエリを使用してSystem Logをフィルターできます。
debugContext.debugData.risk eq "{level=LOW}"
デフォルトでは、Oktaはすべてのサインインリクエストのリスクとユーザーの行動の変化を評価します。サインインリクエストのリスクレベルを具体的に評価するルールを構成しない場合、リスクと行動の評価の結果は、システムログの別の[LogOnlySecurityData]フィールドにある[DebugContext]に追加されます。「リスクと行動の評価」を参照してください。
リスクスコアリングの構成
ルールのAND[Risk is(リスクレベル)]フィールドを[Low(低)]、[Medium(中)]、[High(高)]に設定し、任意のアプリケーションまたはOkta Sign-on Policyルールの条件としてリスクスコアリングを追加できます。
ルールのリスクレベルは、デフォルトで[Any(すべて)]に設定されています。
リスクスコアリングを構成するには、次の手順を実行します。
- Oktaサインオンポリシーを作成し、そのルールを構成します。
- 「Oktaサインオンポリシーを構成する」を参照してください。
- アプリのサインオンポリシーを作成し、そのルールを構成します。
- 「アプリサインオンポリシーを構成する」を参照してください。
- AND[Risk is(リスクレベル)]条件を選択し、リスクレベルを選択してルールを保存します。