不審なアクティビティの報告

不審なアクティビティーのレポートでは、アカウントのアクティビティー・メール通知から未認識のアクティビティーをレポートするオプションをエンド・ユーザーに提供します。

HealthInsightタスクの推奨事項

ユーザーが不審なアクティビティーを報告した場合、管理者は特定のアクションを有効にし、システム・ログ・イベントを監査して、報告されたアクティビティーに関する詳細を取得できます。

Oktaの推奨事項

エンド・ユーザー報告用の不審なアクティビティーのレポートを有効にします。

セキュリティーへの影響

エンドユーザーへの影響

エンド・ユーザー・エクスペリエンス」を参照してください。

エンドユーザーエクスペリエンス

この機能が有効で、セキュリティー・メール通知が有効な場合、エンド・ユーザーは、不審なアクティビティーまたは認識されないアクティビティーをメール通知で組織管理者に報告するオプションを選択できます。「エンドユーザーへの影響」を参照してください。

このメールの例を以下に示します。

[Report Suspicious Activity(不審なアクティビティを報告)]ボタンが含まれる、エンドユーザーに送信される登録メールの例。

エンドユーザーがセキュリティのメール通知を受信した場合、[Report Suspicious Activity(不審なアクティビティの報告)]をクリックして報告を送信できます。アクティビティーをレビューしたら、レポートを確定して完了できます。次の点に注意してください。

  • リンクは、メール送信およびアクション後、7日間のみ有効です。
  • ユーザーが不審なアクティビティを確認するとリンクは失効します。

レポートを送信する前に、エンドユーザーは下の例のように情報をレビューできます。

セキュリティ通知メールを有効にする

この機能を有効にするには、[Security Notification Emails(セキュリティ通知メール)][Security(セキュリティ)] > [General(一般)]に移動します。

エンドユーザー向け通知メールの設定

ユーザーが報告したイベントが管理コンソールのダッシュボードに直接表示されます。

不審なアクティビティの報告数が表示された管理コンソールのダッシュボード

前提条件

この機能を構成して有効にする前に、次の点に注意してください。

  1. この機能を構成するには、スーパー管理者または組織管理者である必要があります。ほかのすべての管理者は、読み取りアクセスのみが可能です。
  2. エンドユーザーが不審なアクティビティを報告できるよう、以下のメール通知のうち1つ以上が有効化されていることを確認してください。
    • 多要素認証登録に関する通知メール
    • 多要素認証のリセットに関する通知メール

組織がEメールのテンプレートをカスタマイズした場合、エンドユーザー報告用のボタンリンクが含まれるようカスタマイズする必要があります。カスタマイズされていないテンプレートには、デフォルトで[レポート]ボタンが含まれています。

このボタンを追加する場合は、「メール・テンプレートをカスタマイズする」を参照してください。

不審なアクティビティの報告を構成する

  1. 管理者ダッシュボードから、[Security(セキュリティ)] > [General(一般)]に移動します。[General Security(一般的なセキュリティ)]ページが表示されます。
  2. [Security Notification Emails(セキュリティ通知メール)][Edit(編集)]をクリックしてこの機能を構成します。以下の設定が利用できます。
    • 多要素認証登録に関する通知メール
    • 多要素認証のリセットに関する通知メール
    • メールによる不審なアクティビティの報告
  3. 最初の3つの設定のいずれかを有効にして、メール通知をオンにします。エンド・ユーザーが不審なアクティビティーを報告するには、少なくとも1つを有効にする必要があります。
  4. レポートが送信されると、管理者がメール通知を受け取ります。
  5. ユーザーが不審なアクティビティを報告した時に管理者に送信されるメールの例。

    [Review Security Event(セキュリティ イベントのレビュー)]をクリックしてシステムログにイベント詳細を表示します。

    イベント名は次のとおりです:user.account.report_suspicious_activity_by_enduser

メールテンプレートをカスタマイズして[Report Suspicious Activity(不審なアクティビティを報告)]ボタンを追加または削除する

これはオプションの手順です。カスタマイズ済みのメールテンプレートを使用しているorgの場合、[Report Suspicious Activity(不審なアクティビティを報告)]ボタンを手動でテンプレートに追加する必要があります。

メール通知テンプレートの構成方法については、「メールテンプレートをカスタマイズする」を参照してください。

カスタマイズ済みのメールテンプレートにリンクを追加する

  1. メールテンプレートを開き、次のコードをメールテンプレートに挿入します。

    a href="${baseUrl}/enduser/report-suspicious-activity?i=${request.reportSuspiciousActivityToken}" id="report-suspicious-activity" style="text-decoration: none;"

    この設定には、管理コンソールの[Settings(設定)] > [Email & SMS(電子メールおよびSMS)]からもアクセスできます。

  2. 左側のナビゲーションメニューで、[Other(その他)]まで下にスクロールします。以下のテンプレートには、ユーザーが不審なアクティビティを報告できるリンクを含む新しいセクションがあります。
    • 多要素認証登録に関する通知メール
    • MFAリセットに関する通知メール

    カスタマイズ済みのメールテンプレートをすでに使用しているorgの場合、管理者は既存のカスタマイズ済みのテンプレートに手動でリンクを追加するか、必要に応じて[Report suspicious activity(不審なアクティビティを報告)]リンクを表示されるようメールテンプレートをリセットしてカスタマイズする必要があります。

カスタマイズ済みのメールテンプレートからリンクを削除する

  1. 管理ダッシュボードから、[Settings(設定)] > [Email & SMS(電子メールおよびSMS)]に移動します。
  2. [Other(その他)]セクションまで下にスクロールします。
  3. メール・テンプレートがカスタマイズされている場合は、以下のメールのメール・テンプレートを編集します。

    • 新規サインオンに関する通知
    • 多要素認証登録に関する通知メール
    • 多要素認証のリセットに関する通知メール
  4. 次のHTMLコードを削除します。

    a href="${baseUrl}/enduser/report-suspicious-activity?i=${request.reportSuspiciousActivityToken}" id="report-suspicious-activity" style="text-decoration: none;"

不審なアクティビティの報告を無効にする

管理者は[Security(セキュリティ)] > [General(一般)]に移動して[Suspicious Activity Reporting(不審なアクティビティの報告)]を無効にできます。

  • この機能を無効にすると、ユーザーが不審なアクティビティを報告するための既存のリンクはすべて期限切れになります。

  • メールテンプレートをカスタマイズしている場合は、[Report Suspicious Activity(不審なアクティビティを報告)]ボタンを手動で削除する必要があります。

  • Oktaの標準メール・テンプレートを使用している場合は、ボタンは自動的に削除されます。

システムログイベント

ユーザーが不審なアクティビティーを報告した後で、イベントの詳細を確認するには、管理システム・ログを参照してください。管理者は、過去7日間に不審なアクティビティを報告したすべてのユーザーを管理ダッシュボードから直接確認できます。

  1. 管理システムログに移動します([Report(レポート)] > [System Log(システムログ)])。
  2. user.account.report_suspicious_activity_by_enduserというラベルの付いたイベントを特定します。
  3. エントリーを展開します([Event(イベント)] > [System(システム)] > [DebugData] )。

  4. SuspiciousActivityEventTransactionIdにあるトランザクションIDを書き留めます。
  5. システム・ログでトランザクションIDを検索し、不審なイベントの発生源を追跡します。
  6. 任意:user.account.report_suspicious_activity_by_enduserのイベントフックを作成します。詳細については、「イベントフック」を参照してください。

不審なアクティビティの報告のイベントフック

管理者は任意で、イベント・フックを作成して、user.account.report_suspicious_activity_by_enduserイベントをサブスクライブできます。

イベントフックについては、以下の開発者用ドキュメントを参照してください。

関連項目

Okta HealthInsightタスクと推奨事項

ネットワークゾーン

一般的なセキュリティ

エンドユーザー向けのサインイン通知

エンドユーザー向けのパスワードの変更通知

エンド・ユーザーへの要素の登録通知

エンド・ユーザーへの要素のリセット通知

一般的なセキュリティ