Okta ThreatInsightについて

Okta ThreatInsightは、Oktaのすべてのお客様に最小限の構成でセキュリティのベースラインを提供します。イベントをログに記録して監査を行うか、イベントをログに記録し、Okta ThreatInsightが疑わしいと識別したトラフィックをブロックするかを選択できます。有効にするアクションを選択すると、Okta ThreatInsightは自動的にログを記録するか、ログを記録して悪意があると識別されたリクエストへのアクセスを拒否します。

資格情報ベースの攻撃

Okta ThreatInsightは、資格情報ベースの攻撃を防ぐように設計されています。資格情報ベースの攻撃は、脆弱な、一般的な、または盗まれたID情報に依存して、正当なユーザーになりすましたり、正当なアカウントを制御したりします。たとえば、クレデンシャルスタッフィング攻撃は、データ侵害で盗まれたり、フィッシングキャンペーンで取得されたり、オンラインフォーラムで取引されたりしたユーザー名とパスワードに依存しています。その後、攻撃者は自動化されたツールを使用して、他のオンラインサービスでそれらをテストします。ブルートフォース攻撃およびパスワードスプレー攻撃は、多くの場合、既知の一連のユーザー名に対して、脆弱で一般的なパスワードの体系的または自動化されたテストに依存しています。

認証の前に脅威の評価を実施

Okta ThreatInsightでは、サインイン要求を評価して、ユーザーが認証される前に潜在的な脅威を特定します。ユーザーは通常どおりサインインします。不審なトラフィックをブロックし、Okta ThreatInsightが悪意のあるIPアドレスからのサインイン要求を検出した場合、Oktaは組織へのユーザーアクセスを自動的に拒否し、ユーザーは要求への応答でエラーを受け取ります。

ただし、Okta ThreatInsightによってブロックされた要求は、ユーザーのサインイン試行失敗としては扱われません。Okta ThreatInsightは疑わしいIPアドレスからの要求を、失敗した認証試行とは別の脅威ベクトルとして扱うため、アカウントのロックアウトイベントが少なくなり、攻撃に関与している可能性のあるIPアドレスの分析の信頼性が高まります。

脅威検出のためのデータ分析と機械学習

Okta ThreatInsightは、何千ものOkta organizationとOkta認証エンドポイントに対して行われた数百万の認証要求を評価し、疑わしいインターネットプロトコル(IP)アドレスを特定します。その後、Okta ThreatInsightはデータ分析と機械学習モデルを使用してインテリジェンスを観察および取得し、顧客ベース全体で資格情報ベースの攻撃を特定します。Okta ThreatInsightは、組織が攻撃を受けていることを識別した場合、詳細な分析のためにイベントを記録し、トラフィックをブロックし、それ以上の攻撃が検出されなくなるまで保護を強化できます。

System Log内のOkta ThreatInsightイベントをクエリする方法については、「Okta ThreatInsightのSystem Logイベント」をご覧ください。

推奨される構成

Okta ThreatInsightをスタンドアロンサービスとして有効にするか、他のセキュリティデバイスやサービス(Webアプリケーションファイアウォール(WAF)、ボット管理サービス、DDoS軽減サービス、セキュリティアラート管理サービスなど)と組み合わせて使用して、組織やネットワークアクセスへの多層的なセキュリティ保護を提供できます。

少なくともOktaでは、Okta ThreatInsightを有効にして疑わしいトラフィックをログに記録し、ブロックすることを推奨しています。

Oktaの推奨事項 Okta ThreatInsightを有効にして不審なIPアドレスからの認証試行をログに記録し、ブロックする。
セキュリティへの影響 重大
エンドユーザーへの影響

Oktaのセキュリティに関する推奨事項については、「Okta HealthInsight」をご覧ください。

信頼できるプロキシーIPアドレスと信頼できないプロキシーIPアドレス

Oktaは、信頼できるプロキシーIPアドレスを介してOktaにプロキシーされないリクエストの発信元クライアントのIPアドレスを正しく識別できます。リクエストが信頼できるプロキシーIPアドレスを介してOktaに渡される場合、

  • ネットワークゾーンのプロキシとして信頼できるIPアドレスのみを含める必要があります。
  • Okta ThreatInsightでは発信元のクライアントIPアドレスを特定できないため、信頼できるプロキシーがネットワークゾーンで正しく構成されていない場合、脅威の検出では効果的ではありません。

ネットワークゾーンの構成の詳細については、「ネットワークゾーン」を参照してください。Okta ThreatInsightによる分析からネットワークゾーンを除外する方法については、「Okta ThreatInsightからIPゾーンを除外」を参照してください。

制限事項

悪用を防ぐため、Okta ThreatInsightの無料の試用版では機能を制限して動作しています。完全な機能を搭載したOkta ThreatInsightが必要な場合は、Oktaサポートまでご連絡ください。

Okta ThreatInsightは、特定の種類の悪意のあるトラフィックをブロックします。悪意のあるIPアドレスの完全な検出、または脅威の完全な検出を保証することはできません。

Okta ThreatInsightの実装をサポートするエンドポイントを確認するには、カスタマーサクセスマネージャーに連絡するか、support.okta.comでサポートチケットを作成してください。

関連項目

Okta ThreatInsightを構成する

Okta ThreatInsightのSystem Logイベント

Okta ThreatInsightからIPゾーンを除外