System Logを使用してネットワークゾーンの問題をトラブルシューティングする

System Logを使用してorg内のセキュリティイベントを確認し、拡張動的ゾーンに属するIPサービスカテゴリーを判断します。

ブロックされたセキュリティリクエストで検索する

security.request.blockedは、orgレベルでIPレベルのブロックを追跡するためのプライマリイベントです。このゾーン設定にリストされている [Block access from IPs matching conditions(このゾーン設定に一致する条件からのアクセスをブロックする)] を使用したorgのネットワークゾーン構成に基づいて、ユーザーの要求が拒否されたときにトリガーされます。

  1. Admin Console[Reports(レポート)][System Log(システムログ)]に移動します。

  2. security.request.blockedイベントタイプを検索します。
  3. イベント内で、 IpDetails > IPServiceCategories セクションを展開します。
    • IsAnonymous:IPが匿名化サービスに関連付けられているかどうかを示します。
    • Operator:特定のVPN、プロキシ、またはサービスプロバイダーを識別します。
    • Type:検出されたIPサービス(VPN、Proxy、 Tor)を分類します。
  4. Target > DetailEntryセクションを展開します。
    • ZoneIdMatch:ゾーンの内部識別番号を示します。
    • ZoneNameMatch:ゾーンの名前を示します。これはカスタム名またはOkta定義のゾーン名である可能性があります。
    • DisplayName:一致したネットワークゾーンを表示します。
    • type:ブロックリストを表示します。

認証イベントによる検索

policy.evaluate_sign_onは、サインインポリシールールで構成されたネットワークゾーンからユーザーのリクエストが発信された場合にトリガーされます。

  1. Admin Console[Reports(レポート)][System Log(システムログ)]に移動します。

  2. policy.evaluate_sign_onイベントタイプを検索します。
  3. イベント内で、 IpDetails > IPServiceCategories セクションを展開します。
    • IsAnonymous:IPが匿名化サービスに関連付けられているかどうかを示します。
    • Operator:特定のVPN、プロキシ、またはサービスプロバイダーを識別します。
    • Type:検出されたIPサービス(VPN、Proxy、 Tor)を分類します。
  4. Target > DetailEntryセクションを展開します。
    • ZoneIdMatch:ゾーンの内部識別番号を示します。
    • ZoneNameMatch:ゾーンの名前を示します。これはカスタム名またはOkta定義のゾーン名である可能性があります。これらのゾーンには、Oktaサインオンポリシーまたはアプリサインオンポリシーのルールが関連付けられています。

System Logのクエリを実行する

イベントをIPサービスカテゴリーごとに並べ替えるには、次のクエリを実行します。

IPサービスカテゴリ

定義

システムログクエリ
ALL_PROXIES_VPNS 以下のIPサービスカテゴリーをすべて含みます request.ipChain.ipDetails.ipServiceCategories.type eq "Proxy" or request.ipChain.ipDetails.ipServiceCategories.type eq "VPN"
ALL_ANONYMIZERS TorおよびTunnelサービスを含みます request.ipChain.ipDetails.ipServiceCategories.isAnonymous eq "true"
ALL_ANONYMIZERS_EXCEPT_TOR すべてのTunnelサービスを含みます(Torは除く) request.ipChain.ipDetails.ipServiceCategories.type ne "Tor" and request.ipChain.ipDetails.ipServiceCategories.isAnonymous eq "true"
ANONYMIZER_TOR Torアノニマイザーに特定のサービスカテゴリー request.ipChain.ipDetails.ipServiceCategories.type eq "Tor"
個々のプロキシサービスカテゴリー(プロバイダー別) 特定のプロバイダーを検索します。例:EXPRESS_VPN request.ipChain.ipDetails.ipServiceCategories.operator eq "EXPRESS_VPN"

拡張動的ゾーンにIPサービスカテゴリーを追加する

拡張動的ゾーンは、IPサービスカテゴリタイプのブロックリストとして使用したり、ユーザーがサインインために満たす必要があるポリシー条件を定義したりすることができます。

ブロックリスト

  1. Admin Console[Security(セキュリティ)][Networks(ネットワーク)]に移動します。

  2. IPサービスカテゴリーを追加する拡張動的ゾーンを選択します。
  3. [Block access from IPs matching conditions(条件に一致するIPからのアクセスをブロック)]を選択します。
  4. [IP service category(IPサービスカテゴリー)] フィールドを特定したカテゴリーで構成し、 [ Save(保存)]をクリックします。

許可リスト

  1. Admin Console[Security(セキュリティ)][Networks(ネットワーク)]に移動します。

  2. IPサービスカテゴリーを追加する拡張動的ゾーンを選択します。
  3. [Block access from IPs matching conditions(条件に一致するIPからのアクセスをブロック)]をクリアします。
  4. [IP service category(IPサービスカテゴリー)] フィールドを特定したカテゴリーで構成し、 [ Save(保存)] をクリックします。
  5. 構成したゾーンをOktaサインオンポリシーまたはアプリサインインポリシーに追加します。どちらのポリシーにも、含める/除外するゾーンを指定できる [ User's IP is(ユーザーのIP)] フィールドがあります。

関連項目

拡張動的ゾーン

サポートされるIPサービスカテゴリー