Okta ThreatInsightのSystem Logイベント

Okta ThreatInsightのアクションが有効になっている場合、悪意のあるIPアドレスからのリクエストは管理者のSystem Logに記録されます。Okta ThreatInsightは、ユーザー自身が特定される前にサインインアクティビティを評価するため、security.threat.detectedイベントにはユーザー名が含まれません。

  • outcome.resultがDENYの場合、リクエストは終了しました。ユーザー名を識別できません。ただし、リクエストが終了した理由については、システムログイベントで詳細を確認できます。例:

    ブロックされたリクエストのSystem Logイベントに、要求が拒否されたIPアドレスと理由が表示される

  • outcome.resultがRATE_LIMITの場合、疑わしいアクティビティが検出されました。悪意のあるアクターがorgのレート制限を消費するのを防ぐために、リクエストが終了しました。そのためユーザー名を識別できません。ただし、リクエストが終了した理由については、システムログイベントで詳細を確認できます。例:

    疑わしいアクティビティのSystem Logイベントに、実行されたアクションとその理由が表示される

  • outcome.resultがALLOWの場合、次のクエリを使用して、同じtransaction.id eq "<TRANSACTION_ID>"を持つ他のイベントを検索します。トランザクションに他のイベントがある場合、ユーザーは[actor(アクター)]フィールドにも表示されます。

System Logを参照して悪意があると特定されたIPアドレスをブロックするよう選択することで、サインイン要求を監査して悪意のあるアクティビティを特定することもできます。

security.threat.detectedイベントは、リクエストが高脅威と見なされた場合にのみ表示されます。

システムログイベントの表示

  1. 管理コンソールで、[Security(セキュリティ)] > [General(一般)]の順に進みます。

  2. [Okta ThreatInsight Settings(Okta ThreatInsightの設定)]で、[System Log(システムログ)]リンクをクリックします。

    [Okta ThreatInsight Settings(Okta ThreatInsightの設定)]からSystem Logに移動したため、検索フィールドにはクエリeventType eq "security.threat.detected"が事前に入力されています。

  3. 日付範囲を設定します。

攻撃を受けたorg

orgが攻撃を受けている場合、Okta ThreatInsightはより積極的にIPにフラグを立てるため、結果的にsecurity.threat.detectedイベントが増える可能性があります。[Reason(理由)]フィールドおよびEvent.System.DebugContext.DebugData.ThreatDetectionsフィールドに表示される脅威レベルを確認することで、IPが疑わしいと特定された理由を確認できます。

攻撃を受けているorgのSystem Logイベント

攻撃を受けているorgのイベントを見つけるには、eventType eq “security.attack.start”およびeventType eq “security.attack.end”のクエリを使用して検索を実行します。

不審なIPアドレスからのサインイン試行

ThreatInsightは、潜在的に悪意のあるアクティビティを行う疑いのあるIPアドレスからのサインオン試行を検出すると、[ThreatSuspected]フィールドを[true]に設定することによってこの検出を知らせます。不審なIPアドレスからのサインイン試行は、次のクエリを使用して検索できます。

debugContext.debugData.threatSuspected eq "true"

[ThreatSuspected」フィールドは、user.session.startおよびsecurity.threat.detectedシステムログイベントにも表示されます。