Okta ThreatInsightのシステム・ログ・イベント

Okta ThreatInsightのアクションが有効になっている場合、悪意のあるIPアドレスからのリクエストは管理者のシステム・ログに表示されます。Okta ThreatInsightは、ユーザー自身が特定される前にサインイン・アクティビティを評価するため、security.threat.detectedイベントにはユーザー名が含まれません。

  • outcome.resultがDENYの場合、リクエストは終了しました。ユーザー名を識別できません。
  • outcome.resultがALLOWの場合、次のクエリーを使用して、同じ transaction.id eq "<TRANSACTION_ID>"を持つ他のイベントを検索します。
  • トランザクションに他のイベントがある場合、ユーザーは[アクター]フィールドにも表示されます。

管理者は、システム・ログを参照して悪意があると特定されたIPアドレスをブロックするよう選択することで、サインイン要求を監査して悪意のあるアクティビティを特定することもできます。

security.threat.detectedイベントは、リクエストが高脅威と見なされた場合にのみ表示されます。

システム・ログ・イベントの表示

  1. 管理コンソールで、[セキュリティー] > [一般]に移動します。
  2. [Okta ThreatInsightの設定]の下にある[システム・ログ]リンクをクリックします。
  3. 日付範囲を設定します。eventType eq "security.threat.detected"のクエリーが検索に事前入力されます。Org Under Attackイベントの場合、クエリーeventType eq" security.attack.start"およびeventType eq" security.attack.end"を使用して検索できます。

Org Under Attack

組織が攻撃を受けている場合、ThreatInsightはより積極的にIPにフラグを立てるため、結果的にsecurity.threat.detectedイベントが増える可能性があります。[理由]フィールドと、フィールド[Event.System.DebugContext.DebugData.ThreatDetections]に表示される脅威レベルを確認することで、不審なIPであると特定された理由を確認できます。