Concepts clés Identity Threat Protection
Découvrez les concepts et composants clés de Okta Identity Threat Protection with Okta AI (ITP) pour mieux comprendre comment cette solution de sécurité d‘identité protège votre organisation.
Concepts liés aux sessions utilisateur
- Session utilisateur
- La session Okta ou les sessions d‘apps qui sont associées à une session Okta.
- Session Okta
- L‘état pendant lequel un utilisateur est authentifié et autorisé à accéder à des apps qui sont sécurisées par Okta. La session Okta commence lorsqu‘un utilisateur se connecte à Okta avec succès. Une session Okta peut être associée à une ou plusieurs sessions d‘application au cours desquelles l‘utilisateur interagit avec les ressources de l‘application. Okta maintient cet état avec l‘utilisateur en envoyant un cookie de session Okta à l‘utilisateur (le client).
- Session d‘app
- L'état maintenu par une app après qu'un utilisateur s'est authentifié avec Okta et s'est vu accorder l'accès à l'app. L'app maintient cet état avec l'utilisateur en émettant un cookie de session d'app à destination de l'utilisateur (client).
- Modification du contexte de la session
- Le contexte de l‘IP ou de l‘appareil d‘un utilisateur peut changer au cours d‘une session. Lorsqu‘une telle modification est détectée, ITP réévalue le risque utilisateur . Il réévalue également le comportement lorsque le changement du contexte de la session est associé à une requête de l‘utilisateur . L‘ITP consigne ces informations en tant qu‘événements utilisateur.session.context.change dans le journal système.
- Violation de session
- Lorsque l‘ITP détecte un changement de contexte de session, il réévalue vos politiques de session et d‘authentification globales pour toutes les sessions d‘application actives. Une violation de session se produit lorsque les exigences des règles de politique correspondantes ne sont pas satisfaites par les sessions utilisateur . L‘événement policy.auth_reevaluate.fail du journal système indique une violation de session.
Types de risque et politiques associées
- Risk Engine
- Un composant clé de Okta AI. Dans le cadre de l‘ITP, Okta Risk Engine calcule le risque de connexion, de session et les risques pour l'entité. Le risque de connexion est calculé lors de l‘authentification. Après l‘authentification, l‘outil d‘évaluation du risque calcule le risque de session. L‘outil d‘évaluation du risque est également utile pour la Détection du comportement et ThreatInsight. ITP utilise l‘outil d‘évaluation du risque pour recueillir les avis des administrateurs et des utilisateurs, réévaluer la politique de session globale et les politiques authentification , et piloter l‘évaluation de la Politique de risques pour l‘entité.
- Risque de session
- Lorsqu‘un changement de contexte d‘IP ou d‘appareil se produit au cours d‘une session utilisateur active, ITP évalue la probabilité que la session soit compromise et calcule le niveau de risque. ITP vérifie les schémas de détounement de session, comme le vol de jeton et la relecture. L‘impact potentiel du risque de la session est limité à la session Okta et aux apps auxquelles l'utilisateur a accédé via cette session. Dans le journal système, l‘événement utilisateur.session.context.change indique un changement du contexte de la session. Cet événement comprend des informations sur le niveau de risque et la raison du changement. Lorsqu‘une violation de session se produit, la politique de protection de session prend automatiquement en charge les actions de remédiation que vous avez configurées.
Le risque de session, le changement du contexte de la session et la violation de la session déterminent la politique de Protection de session. Dans cette politique, vous pouvez configurer des actions de remédiation adaptatives lorsqu‘une violation de session se produit. L‘événement policy.auth_reevaluate.action dans le journal système indique les actions de remédiation qui sont prises par la politique de protection de session en réponse à la violation de la protection de session. Consultez Protection de session.
- Risques pour l‘entité
- ITP évalue la probabilité qu‘un Compte utilisateur soit compromis en fonction de l‘accès entre les appareils, les sessions et les apps. ITP évalue les risques pour l‘entité même si l‘utilisateur n‘a pas une session active. Comme les risques pour l‘entité est évalué sur le Compte utilisateur , il est également appelé risques utilisateur pour l‘entité. L‘ITP évalue le risque en fonction des détections de risques pour l‘entité provenant d‘Okta et des signaux ou détections reçus des fournisseurs d‘événements de sécurité via le SSF (Shared Signals Framework) et le Continuous Access Evaluation Protocol (CAEP). Dans le journal système, l‘événement utilisateur.risk.detect indique les détections du niveau de risques utilisateur pour l‘entité.
Dans la politique des risques pour l‘entité, vous pouvez configurer des actions de remédiation adaptatives (Universal Logout ou Workflows) en réponse aux détections de risques pour l‘entité. Vous pouvez définir plusieurs règles qui ciblent différentes menaces et définissent des conditions par groupe utilisateur, par détection, des risques pour l‘entité et par niveau de risque. Consultez Politique de risques pour l‘entité.