セキュリティイベントプロバイダーから報告されるリスク

この検出は、CrowdStrikeやOmnissaなどの統合セキュリティパートナー、またはCASB（Cloud Access Security Broker）がShared Signals Framework（SSF）を介してOktaに信号を送信したときに記録されます。

検出リスクレベル：高、中、低

これは、管理者から報告されるユーザーリスクを自動化したものです。たとえば、EDRプロバイダーがユーザーのデバイスリスクレベルが高に変更されたことをOktaに通知した場合に、Oktaはこの検出を記録します。

ポリシーの構成

エンティティリスクポリシーで、次の個別のルールを作成します。

ルール1

• ［Detection（検出）］：セキュリティイベントプロバイダーから報告されるリスク
• ［Entity risk level（エンティティリスクレベル）］：高
• ［Take this action（このアクションを実行）］：Universal Logout

Rule 2（ルール2）

• ［Detection（検出）］：セキュリティイベントプロバイダーから報告されるリスク
• ［Entity risk level（エンティティリスクレベル）］：中
• ［Take this action（このアクションを実行）］：Workflowを実行して管理者に通知します

修復戦略

1. 自動アクション：ポリシーは、パートナーツールからの信号に基づいてアクションを直ちに強制適用します。

2. 調査：調査はソースツール（EDRコンソールなど）で行われる必要があります。Okta System Logにイベントは表示されますが、リスク変化の元のコンテキストはパートナーのシステム内にあります。

3. アクセスの復元：アクセスは通常、自動的に復元されます。たとえば、EDRツールでデバイスが正常であることが確認された後、新しい「リスクレベルは低」の信号がOktaに送信されます。Oktaがユーザーのリスクレベルを引き下げると、強制適用は終了します。