エンティティリスクポリシールールを追加する

早期アクセスリリース

Okta orgには、デフォルトのキャッチオールルールが含まれる1つのエンティティリスクポリシーがあります。別のシナリオを監視するルールを追加して異常なアクティビティを検出し、それに対処することができます。

デフォルトのキャッチオールルールはエンティティリスクを監視し、イベントをSystem Logに記録します。より多くのルールを追加するときは、キャッチオールルールに対する優先順位に従ってルールを並べます。

たとえば、org内のリスクレベルが中のアクティビティを監視し、それに応じてWorkflowを実行する1つのルールを追加できます。さらに、org内の高リスクのアクティビティを監視し、アプリ、Okta、または両方からユーザーをサインアウトさせる2番目のルールを追加できます。

はじめに

Oktaがポリシー違反を検出した場合にWorkflowを起動するときは、エンティティリスクポリシーを強制する前に専用のWorkflowを作成します。サポートされるのは専用のWorkflowのみです。「Identity Threat Protection with Okta AIのワークフロー」を参照してください。

エンティティリスクポリシーにルールを追加する

  1. Admin Dashboard[Security(セキュリティ)][Entity Risk Policy(エンティティリスクポリシー)]に移動します。
  2. [Add Rule(ルールを追加)]をクリックします。
  3. [Rule Name(ルール名)]を入力します。
  4. IF条件を構成します。これらの条件では、どのような場合にルールを適用するのかを指定します。
    IF説明
    IF User's group membership includes(ユーザーのグループメンバーシップに含まれる)ルールに含める、またはルールから除外するユーザーグループを指定するオプションを選択します。
    • [Any group(任意のグループ)]:org内の任意のグループのメンバーであるユーザーが対象となります。
    • [At least one of the following groups(少なくとも次のいずれかのグループ)]:ルールに含める、またはルールから除外するグループを指定します。[Enter groups to include(含めるグループを入力)]または[Enter groups to exclude(除外するグループを入力)]には、目的のグループの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。グループ名をクリックして選択します。さらにグループを追加するには、この手順を繰り返します。
    AND Detection(検出)Oktaに検出させる、または除外させるアクティビティを指定するオプションを選択します。検出をルールに含める、または検出をルールから除外することができますが、同一のルールで両方の条件を使用することはできません。「検出」を参照してください。
    • [Any detection(任意の検出)]:任意の種類のアクティビティを検出するには、このオプションを選択します。
    • [Include at least one of the following detections(少なくとも次のいずれかの検出を含める)]:検出するアクティビティの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前をクリックして選択します。さらに検出を追加するには、この手順を繰り返します。
    • [Exclude at least one of the following detections(少なくとも次のいずれかの検出を除外する)]:除外するアクティビティの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前をクリックして選択します。検出をさらに除外するには、この手順を繰り返します。
    AND Entity risk level(エンティティリスクレベル)

    使用できるのは、各検出タイプの特定のエンティティリスクレベルのみです。検出タイプごとにどのリスクレベルを使用できるかが示されたテーブルを「検出」で参照した上でOktaに戻り、使用する検出タイプのリスクレベルを選択します。

    リスクレベルを選択します。

    • [Any(任意)]:任意のリスクレベルのイベントを検出します。
    • [Low(低)]:低リスクレベルのイベントを検出します。
    • [Medium(中)]:中リスクレベルのイベントを検出します。
    • [High(高)]:高リスクレベルのイベントを検出します。

    検出」を参照してください。

  1. THEN条件を構成します。これらの条件は、構成した条件が検出された場合にOktaがどのように対応するかを指定します。

    THEN 説明
    THEN Take this action(このアクションを実行) 次のいずれかのアクションを選択します。
    • [No further action(さらなるアクションなし)]:ルールの条件がorgで検出された場合に、さらなるアクションを実行しません。このオプションを選択しても、イベント自体はログに記録されます。
    • [Logout(ログアウト)]
      • [Users are logged out of Okta and x apps(Oktaとxアプリからユーザーをログアウト)]:クリックすると、ユーザーをログアウトさせるアプリが表示されます。
      • [Universal Logout(ユニバーサルログアウト)]と[Partial logout(部分的ログアウト)]ユニバーサルログアウトをサポートするアプリと、部分的ログアウトをサポートするアプリがあります。「ユニバーサルログアウトを構成する」を参照してください。
    • [Run a Workflow(Workflowを実行)]:このオプションを選択すると、[Workflow triggered by action(アクションによってトリガーされるWorkflow)]ドロップダウンが表示されます。

    AND Workflow triggered by action(アクションによってトリガーされるWorkflow)

    このドロップダウンは、[Run a Workflow(Workflowを実行)]を選択すると表示されます。

    このドロップダウンをクリックして既存の専用Workflowを選択します。目的のWorkflowの名前と一致するテキストを入力します。Workflow名をクリックして選択します。選択できるWorkflowは1つのみです。

  2. [Save(保存)]をクリックします。

関連項目

エンティティリスクポリシー

エンティティリスク検出ウィジェット

エンティティリスクレポート