Identity Threat Protectionの主要コンセプト
Okta Identity Threat Protection with Okta AI(ITP)の主要なコンセプトとコンポーネントについて学び、IDセキュリティソリューションがorgをどのようにして守るかを理解します。
ユーザーセッションのコンセプト
- ユーザーセッション
- OktaセッションまたはOktaセッションと関連するアプリセッション。
- Oktaセッション
- ユーザーが認証され、Oktaによって保護されるアプリへのアクセスが認可されている状態です。Oktaセッションは、ユーザーがOktaにサインインしたときに開始します。ユーザーがアプリのリソースとやり取りしている間、Oktaセッションは、1つ以上のアプリセッションと関連します。Oktaは、Oktaセッションクッキーをユーザー(クライアント)に発行して、ユーザーのこの状態を維持します。
- アプリセッション
- ユーザーがOktaで認証し、アプリへのアクセス権を付与された後に、アプリによって維持される状態です。アプリは、アプリセッションクッキーをユーザー(クライアント)に発行して、ユーザーのこの状態を維持します。
- ユーザーセッションコンテキストの変更
- ユーザーのIPまたはデバイスのコンテキストが、セッション中に変更する可能性があります。そのような変更が検出されたら、ITPはユーザーリスクを再評価します。また、セッションコンテキストの変更がユーザーリクエストに関連する場合は、動作も再評価します。ITPは、この情報をシステムログにuser.session.context.changeイベントとして記録します。
- セッション違反
- ITPがセッションコンテキストの変更を検出した場合は、アクティブなアプリセッションすべてに対するグローバルセッションと認証ポリシーを再評価します。一致するポリシールール内の要件がユーザーセッションによって満たされない場合、セッション違反が起こります。システムログのpolicy.auth_reevaluate.failイベントは、セッション違反を示します。
リスクの種類および関連するポリシー
- リスクエンジン
- Okta AIの主要コンポーネント。ITPでOkta Risk Engineは、ログイン、セッション、エンティティリスクを計算します。ログインリスクは認証中に計算されます。認証後、リスクエンジンはセッションリスクを計算します。また、リスクエンジンは振る舞い検知およびThreatInsightを支援します。ITPは、リスクエンジンを使用して、管理者とユーザーからフィードバックを収集し、グローバルセッションポリシーと認証ポリシーを再評価し、エンティティリスクポリシー評価を駆動します。
- セッションリスク
- アクティブユーザーセッション中にIPまたはデバイスコンテキストの変更が起こった場合、ITPは、セッションが侵害された可能性を評価し、リスクレベルを計算します。ITPは、トークンの窃盗および再生などの、セッションハイジャックのパターンをチェックします。セッションリスクの滞在的な影響は、Oktaセッションおよびそのセッションを通してユーザーがアクセスするアプリに限定されます。システムログのuser.session.context.changeイベントは、ユーザーセッションコンテキストの変更を示します。このイベントには、リスクレベルと変更の理由に関する情報が含まれます。セッション違反が起こった場合、セッション保護ポリシーは、構成された修復アクションを自動的に実行します。
セッションリスク、セッションコンテキストの変更、およびセッション違反は、セッションポリシーを駆動します。このポリシーで、セッション違反が起こったときの適応的修復アクションを構成できます。System Logのpolicy.auth_reevaluate.actionイベントは、セッション保護違反に反応して、セッション保護ポリシーにより、修復アクションが実行されたことを示します。「セッション保護」を参照してください。
- エンティティリスク
- ITPは、デバイス、セッション、アプリ全体のアクセスに基づいて、ユーザーアカウントが侵害された可能性を評価します。ITPは、ユーザーにアクティブなセッションがない場合でも、エンティティリスクを評価します。エンティティリスクはユーザーアカウントについて評価するため、エンティティユーザーリスクとも呼ばれています。ITPは、Oktaソースのエンティティリスク検出およびシグナルか、またはShared Signals Framework(SSF)およびContinuous Access Evaluation Protocol(CAEP)を通してセキュリティイベントプロバイダーから受け取った検出に基づいてリスクを評価します。システムログのuser.risk.detectイベントは、エンティティユーザーリスクレベルの検出を示します。
エンティティリスクポリシーで、エンティティリスク検出に応じて、適応的修復アクション(Universal LogoutまたはWorkflows)を構成できます。さまざまな脅威に対する複数のルールを設定でき、ユーザーグループ、エンティティリスク検出、リスクレベルによって条件を定義できます。「エンティティリスクポリシー」を参照してください。