エンティティリスクポリシールールを追加する

エンティティリスクポリシーにルールを追加して、エンティティリスクの変化への対応をカスタマイズします。

orgには、エンティティリスクを監視し、user.risk.detectイベントをSystem Logに記録する、デフォルトのキャッチオールルールを含む1つのエンティティリスクポリシーがあります。別のシナリオまたは異常なアクティビティを監視して対応するルールを追加することができます。たとえば、リスクレベルが中のアクティビティをorgで監視し、それに応じて委任されたワークフローを実行する1つのルールを追加します。さらに、org内の高リスクのアクティビティを監視し、アプリ、Okta、または両方からユーザーをサインアウトさせる2番目のルールを追加します。キャッチオールルールよりも、両方の新しいルールを優先させます。

開始する前に

スーパー管理者ロール、または[Manage policy(ポリシーを管理する)]権限と[Entity risk policy(エンティティリスクポリシー)]リソースセットを含むカスタムロールを所有している必要があります。

Oktaがポリシー違反を検出した場合に委任されたフローを起動するときは、エンティティリスクポリシーを追加する前に、委任されたフローを作成します。

このタスクを開始する

  1. 管理者ダッシュボード[Security(セキュリティ)][Entity Risk Policy(エンティティリスクポリシー)]に移動します。または、[Security(セキュリティ)][ Identity Threat Protection] に移動します。[Configure response(レスポンスの構成)]セクションで、[Go to entity risk policy(エンティティリスクポリシーに移動する)]をクリックします。
  2. [Add Rule(ルールを追加)]をクリックします。
  3. [Rule Name(ルール名)]を入力します。
  4. [User's group membership includes(ユーザーのグループメンバーシップ:)]で、ルールに含める、またはルールから除外するユーザーグループを指定します。
    • [Any group(任意のグループ)]
    • At least one of the following groups(次のグループのうち少なくとも1つ)
  5. [Detection(検出)]で、Oktaに検出させる、または除外させるアクティビティを指定するオプションを選択します。
    • 任意の検出
    • Include at least one of the following detections(次の検出のうち少なくとも1つを含める:)
    • Exclude at least one of the following detections(次の検出のうち少なくとも1つを除外する:)
  6. [Entity Risk Level(エンティティリスクレベル)]を選択します。
    • [Any(すべて)]
  7. [Take this action(このアクションを実行)]フィールドで、構成した条件が検出された場合にOktaがどのように対応するかを指定します。
    • [No further action(さらなるアクションなし)]:アクションは何も実行されません。このオプションを選択しても、イベント自体はログに記録されます。
    • [Logout and revoke tokens(ログアウトしてトークンを取り消す)] > [Users are signed out of Okta and x apps(ユーザーをOktaとxアプリからサインアウト)]:クリックすると、ユーザーがサインアウトされるアプリが表示されます。
    • [Logout and revoke tokens(ログアウトしてトークンを取り消す)] > [Universal Logout]と[Partial Universal Logout(部分的Universal Logout)]Universal Logoutをサポートするアプリと部分的Universal Logoutをサポートするアプリがあります。エンティティリスクポリシーまたは[Clear user sessions(ユーザーセッションを消去)]アクションによってUniversal Logoutがトリガーされ、Okta IDプロバイダーセッションが終了すると、Oktaはエンティティリスクレベルを低に変更します。「対応アプリにUniversal Logoutを構成する」を参照してください。
    • [Run a Workflow(Workflowを実行)]:このオプションを選択すると、[Workflow triggered by action(アクションによってトリガーされるWorkflow)]ドロップダウンメニューが表示されます。
  8. [Run a Workflow(Workflowを実行する)]を選択した場合は、[Workflow triggered by action(アクションによってトリガーされるWorkflow)]ドロップダウンメニューをクリックするか、委任されたワークフローの名前を入力します。
  9. [Save(保存)]をクリックします。

各ポリシールールに割り当てることができるのは、1つの委任フローのみであるため、リスクレベルごとに個別のルールが必要になります

ルールを更新する

ルールを表示するには、[エンティティリスクポリシー]ページを使用します。ルールをアクティブ化、非アクティブ化、削除、または編集したり、ルールの評価順序を変更したりできます。

  1. Admin Dashboard[Security(セキュリティ)][Entity Risk Policy(エンティティリスクポリシー)]に移動します。または、[Security(セキュリティ)] [Identity Threat Protection]に移動します。[Configure response(レスポンスの構成)]セクションで、[Go to entity risk policy(エンティティリスクポリシーに移動する)]をクリックします。
  2. ルールをアクティブ化または非アクティブ化するには、目的のルールの[Actions(アクション)]をクリックしてオプションを選択します。非アクティブ化されたルールは、システムログにルール一致エントリを生成しません。
  3. ルールを削除するには、[Actions(アクション)]メニューをクリックし、[Deactivate(非アクティブ化)]を選択します。[Actions(アクション)]をもう一度クリックし、[Delete(削除)]を選択します。
  4. ルールをドラッグアンドドロップして、優先度を並べ替えます。

関連項目

エンティティリスクポリシー

エンティティリスク検出ウィジェット

エンティティリスクレポート