Okta ThreatInsightのシステム ログ イベント

Okta ThreatInsightのアクションが有効化されている場合、悪意のあるIPアドレスからのリクエストが管理者のシステムログに表示されます。Okta ThreatInsightはユーザーのIDが特定される前にサインイン アクティビティを評価します。そのためsecurity.threat.detectedイベントにはユーザー名は含まれません。

  • outcome.resultがDENYの場合、リクエストは強制終了されます。ユーザーは特定されません。
  • outcome.resultがALLOWの場合、以下のクエリを実行して同じ transaction.id eq "<TRANSACTION_ID>"を持つその他のイベントを検索します。
  • 他のイベントがトランザクションに含まれる場合、そのユーザーは[actor(アクター)]フィールドで見つけることができます。

管理者はまた、システムログを参照し悪意があると特定されたIPアドレスのブロックを選択することで、サインイン リクエストを監査して悪意のあるアクティビティを特定することもできます。

security.threat.detectedイベントは、リクエストが高脅威とみなされる場合にのみ表示されます。

システムログ イベントの表示

  1. 管理コンソールで、[Security(セキュリティ)]>[General(一般)]の順に進みます。
  2. [Okta ThreatInsight Settings(Okta ThreatInsightの設定)]で、System Log(システムログ)リンクをクリックします。
  3. 日付の範囲を設定します。eventType eq "security.threat.detected"のクエリは検索フィールドに事前入力されます。攻撃を受けた組織のイベントでは、eventType eq “security.attack.start”およびeventType eq “security.attack.end”のクエリを使用して検索を実行できます。

攻撃を受けた組織

組織が攻撃を受けた場合、ThreatInsightはより攻略的にIPにフラグを立てるため、結果的により多くのsecurity.threat.detectedイベントが発生します。[Reason(理由)]フィールドおよびEvent.System.DebugContext.DebugData.ThreatDetectionsフィールドに表示される脅威レベルを確認することで、IPが疑わしいと特定された理由を確認できます。