System LogでMFAの放棄を追跡する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

多要素認証（MFA）の放棄とは、ユーザーが検証を完了しなかったために、処理中に停止される認証試行を指します。

放棄の理由は正当なものである場合もありますが、アカウントが攻撃を受けていることを示す可能性もあります。System Logでこれらの放棄されたMFA試行を追跡して、攻撃パターンに関する洞察を得て、標的になっているアカウントを特定できます。これにより、潜在的な攻撃を軽減することができます。

正当なユーザーがMFA検証を完了しない理由は多数あります。デバイスやアプリに問題があるか、接続が不足している場合があります。ただし、攻撃者は盗まれたまたは推測された資格情報を使用してアカウントにアクセスしようとしている可能性があります。MFAデバイスまたはアプリにアクセスできない場合、またはMFAプロンプトを傍受するのが困難すぎる場合、MFA検証は失敗します。Oktaは不審なアクティビティを検出し、追加の検証を求めることもあります。攻撃者はMFAチャレンジを満たすことができないため、サインインできません。

MFAの結果

放棄されたMFA試行はuser.authentication.auth_via_mfaイベント下のSystem Logに記録されます。このイベントには、UNANSWEREDまたはABANDONEDの結果が表示されます。

• 未回答：
  • ユーザーは利用可能なセキュリティ方法の一部を無視しましたが、他のオプションで保証要件を満たしました。ユーザーにセッションが許可されました。
  • ユーザーが正常にサインインすると、このエントリがSystem Logに表示されます。
  • AuthnRequestIdフィールドの値を使用して、サインイントレイルで関連イベントを検索できます。
• 放棄：
  • ユーザーは時間内にMFAチャレンジを満たすことができず、サインインできなかったため、セッションが許可されませんでした。ユーザーがサインインを試行しなくなった可能性もあります。
  • ユーザーが時間内に認証チャレンジに応答しない場合、認証および回復要求は期限切れになります。このエントリーは、放棄されたセキュリティ方式ごとに30分間非アクティブになると、System Logに表示されることがあります。
  • AuthnRequestIdフィールドの値を使用して、サインイントレイルで関連イベントを検索できます。

これら両方の結果について、潜在的なセキュリティ問題を追跡するための情報については、次のフィールドを参照してください。

• AuthenticatorMethodChallengeTimeフィールドの時間は、チャレンジがユーザーに提示された時刻を示します。
• AuthnRequestIdフィールドの値を使用して、サインイントレイルで関連イベントを検索できます。