リスク検出
リスク検出が意味すること、エンティティリスクポリシーを使用してリスク検出への対応を自動化する方法について説明します。
orgでリスクを明らかにして脅威を減らすことができます。疑わしい攻撃者はアプリへのアクセスを迅速にブロックされ、通知によってレビューと修復が可能になります。その後、対応を自動化して、緩和手順の初期化を迅速化し、ユーザーによるヘルプデスクの利用を軽減します。
各リソースの使用方法
リスク検出は、IDの攻撃に使用される戦術、技術、手順の種類です。ITPはSystem Logのuser.risk.detectイベント内でリスク検出を行うため、セキュリティチームは悪意のあるパターンや傾向に対する可視性を高めることができます。これにより、追加のセキュリティ対策が必要な場合を判断することができます。
各リソースには、検出コンテキスト、リスクレベル、ポリシー構成、修復戦略のセクションが含まれます。コンテキストをレビューして、各検出に至る条件を理解します。高リスクの検出は、不審なユーザーアクティビティの可能性が高いことを示します。ポリシー構成セクションを使って対応を自動化してから、修復手順に従います。
検出
|
検出 |
リスクレベル |
Summary(概要) |
|---|---|---|
| 漏洩した資格情報の検知 | 高 | Okta orgへのサインインに使用されるユーザー名とパスワードの組み合わせが、公開されているデータ侵害のサードパーティリストに含まれている。 |
| 高脅威IPからのエンティティの重大アクション | 高 | Okta ThreatInsightが高脅威であるとフラグ付けしたIPアドレスから、ユーザーが機密性のある重大アクションを実行している。 |
| Okta Threat Intelligence(Okta脅威インテリジェンス) | 高 | Oktaで、脅威アクターが使用するインフラストラクチャーからアクティビティを識別されている。 |
| FastPassによってフラグ付けされたIPからの不審なログイン | 高 | Okta FastPassが以前にフィッシング試行でフラグ付けしたIPアドレスからサインインイベントが成功している。 |
| 資格情報ベースの攻撃時にフラグ付けされたIPからの不審なログイン | 高 | 以前に大量のログイン攻撃失敗に関与したIPアドレスがorgへのサインインに使用されている。 |
| This wasn't me(これは自分ではない) | 高 | ユーザーがセキュリティイベントを不正として積極的に報告している。 |
| セッションの影響を受けるユーザーリスク | 中 | ユーザーのセッションリスクレベルが「高」に変更される。 |
| ブルートフォース攻撃の疑い | 中 | Oktaで、パスワードまたはMFAベースのサインイン試行の失敗率が高いことが確認される。 |
| 不審なアプリアクセス | 中 | Oktaで、アプリ(サービスプロバイダー)のセッションクッキーを収集しようとする攻撃者の試みが検出される。 |
| 管理者から報告されるユーザーリスク | 低、中、高 | 管理者がユーザーのリスクレベルを手動で「低」、「中」、または「高」に変更する。 |
| セキュリティイベントプロバイダーから報告されるリスク | 低、中、高 | 統合されたセキュリティパートナーが、Shared Signals Framework(SSF)を介してOktaにシグナルを送信する。 |