Okta ThreatInsightのシステムログベント
Okta ThreatInsightは、悪意のある可能性があるIPアドレスからのリクエストをシステムログに記録します。記録するイベントタイプは次のとおりです。
- 不審なIPアドレスからのサインイン試行
- 検出されたセキュリティ脅威
- 攻撃を受けたorg
システムログイベントを表示する
-
Admin Consoleで、に移動します。
- Okta ThreatInsight設定(Okta ThreatInsight settings)でシステムログ(System Log)をクリックします。検索(Search)フィールドに
eventType eq "security.threat.detected"クエリが事前入力されます。このクエリをカスタマイズして他のイベントタイプを検索できます。 - 日付範囲を設定します。
- 検索(Search)フィールドの横にある虫眼鏡アイコンをクリックします。
不審なIPアドレスからのサインイン試行
Okta ThreatInsightは、悪意のある可能性があるIPアドレスからのサインオン試行を検出すると、ThreatSuspectedフィールドをtrueに設定しす。
このクエリをシステムログの検索(Search)フィールドに貼り付けて、不審なIPアドレスからのサインイン試行を検索します。
debugContext.debugData.threatSuspected eq "true"
ThreatSuspectedフィールドはuser.session.startおよびsecurity.threat.detectedシステムログイベントにも表示されます。
検出されたセキュリティ脅威
security.threat.detectedイベントは、リクエストが高脅威と見なされた場合にのみシステムログに表示されます。
Okta ThreatInsightは、ユーザーが特定される前にサインインアクティビティを評価するため、security.threat.detectedイベントにはユーザー名が含まれません。
outcome.resultフィールドは、Okta ThreatInsightがリクエストをどのように処理したかを示しています。
- DENY:Okta ThreatInsightは、悪意のあるアクターがorgのレート制限を消費するのを防ぐため、リクエストを終了しました。
- RATE_LIMIT:Okta ThreatInsightは疑わしいアクティビティを検出しました。
- ALLOW:Okta ThreatInsightはリクエストの処理を許可しました。同じトランザクションIDを使用して他のイベントを検索するには、このクエリを検索(Search)フィールド
transaction.id eq "<TRANSACTION_ID>"に貼り付けます。actorフィールドには、リクエストに関連するユーザー名が表示されます。
outcome.reasonフィールドには結果の理由が表示されます。
次に、結果がDENYであるシステムログイベントの例を示します。
次に、結果がRATE_LIMITであるシステムログイベントの例を示します。
攻撃を受けているorg
orgが攻撃を受けているときには、Okta ThreatInsightはより積極的にIPアドレスにフラグを立てます。その結果、より多くのsecurity.threat.detectedイベントがシステムログに表示される可能性があります。
次のクエリをシステムログの検索(Search)フィールドに貼り付けて、「攻撃を受けているorg」イベントを検索します。
-
eventType eq "security.attack.start" -
eventType eq "security.attack.end"
outcome.reasonフィールドには結果の理由が表示されます。
次に、サインインの失敗により中程度のリスクとしてフラグが立てられたシステムログイベントの例を示します。
悪意のある可能性があるIPアドレスをブロックリストに追加する
悪意のあるアクティビティを示している可能性があるシステムログイベントが見つかったら、それらのイベントに関連するIPアドレスをブロックリストに追加できます。
IPアドレスはイベントの最上部のアクター(Actor)列に表示されます。
手順については、ブロックリストネットワークゾーンを参照してください。