System Logを使用してネットワークゾーンの問題をトラブルシューティングする

System Logを使用してorg内のセキュリティイベントを確認し、拡張動的ゾーンに属するIPサービスカテゴリーを判断します。

ブロックされたセキュリティリクエストを検索する

security.request.blockedは、orgレベルでIPレベルのブロックを追跡するためのプライマリイベントです。このゾーン設定にリストされている このゾーン設定に一致する条件からのアクセスをブロックする(Block access from IPs matching conditions) を使用したorgのネットワークゾーン構成に基づいて、ユーザーの要求が拒否されたときにトリガーされます。

  1. Admin Consoleレポート(Reports) > システムログ(System Log)に移動します。

  2. security.request.blockedイベントタイプを検索します。
  3. イベント内で、IpDetails > IPServiceCategoriesセクションを展開します。
    • IsAnyonymous:IPが匿名化サービスに関連付けられているかどうかを示します。
    • Operator:特定のVPN、プロキシ、またはサービスプロバイダーを識別します。
    • Type:検出されたIPサービス(VPN、Proxy、Tor)を分類します。
  4. Target > DetailEntryセクションを展開します。
    • ZoneIdMatch:ゾーンの内部識別番号を示します。
    • ZoneNameMatch:ゾーンの名前を示します。これはカスタム名またはOkta定義のゾーン名である可能性があります。
    • DisplayName:一致したネットワークゾーンが表示されます。
    • type:ブロックリストを表示します。

認証イベントによる検索

policy.evaluate_sign_on:サインインポリシールールで構成されたネットワークゾーンからユーザーのリクエストが発信された場合にトリガーされます。

  1. Admin Consoleレポート(Reports) > システムログ(System Log)に移動します。

  2. policy.evaluate_sign_onイベントタイプを検索します。
  3. イベント内で、 IpDetails > IPServiceCategories セクションを展開します。
    • IsAnyonymous:IPが匿名化サービスに関連付けられているかどうかを示します。
    • Operator:特定のVPN、プロキシ、またはサービスプロバイダーを識別します。
    • Type:検出されたIPサービス(VPN、Proxy、Tor)を分類します。
  4. Target > DetailEntryセクションを展開します。
    • ZoneIdMatch:ゾーンの内部識別番号を示します。
    • ZoneNameMatch:ゾーンの名前を示します。これはカスタム名またはOkta定義のゾーン名である可能性があります。これらのゾーンには、Oktaサインオンポリシーまたはアプリサインオンポリシールールが関連付けられています。

System Logのクエリを実行する

イベントをIPサービスカテゴリーごとに並べ替えるには、次のクエリを実行します。

IPサービスカテゴリ

定義

システムログクエリ
ALL_PROXIES_VPNS 以下のIPサービスカテゴリーをすべて含みます request.ipChain.ipDetails.ipServiceCategories.type eq "Proxy" or request.ipChain.ipDetails.ipServiceCategories.type eq "VPN"
ALL_ANONYMIZERS TorおよびTunnelサービスを含みます request.ipChain.ipDetails.ipServiceCategories.isAnonymous eq "true"
ALL_ANONYMIZERS_EXCEPT_TOR すべてのTunnelサービスを含みます(Torは除く) request.ipChain.ipDetails.ipServiceCategories.type ne "Tor" and request.ipChain.ipDetails.ipServiceCategories.isAnonymous eq "true"
ANONYMIZER_TOR Torアノニマイザーに特定のサービスカテゴリー request.ipChain.ipDetails.ipServiceCategories.type eq "Tor"
個々のプロキシサービスカテゴリー(オペレーター別) 特定のプロバイダーを検索します。例:EXPRESS_VPN request.ipChain.ipDetails.ipServiceCategories.operator eq "EXPRESS_VPN"

拡張動的ゾーンにIPサービスカテゴリーを追加する

拡張動的ゾーンは、IPサービスカテゴリタイプのブロックリストとして使用したり、ユーザーがサインインために満たす必要があるポリシー条件を定義したりすることができます。

ブロックリスト

  1. Admin Consoleセキュリティ(Security) > ネットワーク(Networks)に移動します。

  2. IPサービスカテゴリーを追加する拡張動的ゾーンを選択します。
  3. 条件に一致するIPからのアクセスをブロック(Block access from IPs matching conditions)を選択します。
  4. IPサービスカテゴリー(IP service category) フィールドを特定したカテゴリーで構成し、保存(Save)をクリックします。

許可リスト

  1. Admin Consoleセキュリティ(Security) > ネットワーク(Networks)に移動します。

  2. IPサービスカテゴリーを追加する拡張動的ゾーンを選択します。
  3. 条件に一致するIPからのアクセスをブロック(Block access from IPs matching conditions)オプションをクリアします。
  4. IPサービスカテゴリー(IP service category) フィールドを特定したカテゴリーで構成し、保存(Save)をクリックします。
  5. 構成したゾーンをOktaサインオンポリシーまたはアプリサインインポリシーに追加します。どちらのポリシーにも、含める/除外するゾーンを指定できるユーザーのIP(User's IP is)フィールドがあります。

関連項目

拡張動的ゾーン

サポートされるIPサービスカテゴリー