エンティティリスクポリシールールを追加する

Okta orgには、デフォルトのキャッチオールルールが含まれる1つのエンティティリスクポリシーがあります。別のシナリオを監視するルールを追加して異常なアクティビティを検出し、それに対処することができます。

デフォルトのキャッチオールルールはエンティティリスクを監視し、イベントをSystem Logに記録します。それ以上のルールを追加するときは、キャッチオールルールに対する優先順位に従ってルールを並べます。

たとえば、リスクレベルが中のアクティビティをorgで監視し、それに応じて委任されたワークフローを実行する1つのルールを追加できます。さらに、org内の高リスクのアクティビティを監視し、アプリ、Okta、または両方からユーザーをサインアウトさせる2番目のルールを追加できます。

開始する前に

Oktaがポリシー違反を検出した場合に委任されたフローを起動するときは、エンティティリスクポリシーを追加する前に、委任されたフローを作成します。

エンティティリスクポリシーにルールを追加する

  1. 管理者ダッシュボード[Security(セキュリティ)][Entity Risk Policy(エンティティリスクポリシー)]に移動します。
  2. [Add Rule(ルールを追加)]をクリックします。
  3. [Rule Name(ルール名)]を入力します。
  4. IF条件を構成します。これらの条件では、どのような場合にルールを適用するのかを指定します。
    IF説明
    IF User's group membership includes(ユーザーのグループメンバーシップに含まれる)ルールに含める、またはルールから除外するユーザーグループを指定するオプションを選択します。
    • [Any group(任意のグループ)]:org内の任意のグループのメンバーであるユーザーが対象となります。
    • [At least one of the following groups(少なくとも次のいずれかのグループ)]:ルールに含める、またはルールから除外するグループを指定します。[Enter groups to include(含めるグループを入力)]または[Enter groups to exclude(除外するグループを入力)]には、目的のグループの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。グループ名をクリックして選択します。さらにグループを追加するには、この手順を繰り返します。
    AND Detection(検出)Oktaに検出させる、または除外させるアクティビティを指定するオプションを選択します。検出をルールに含める、または検出をルールから除外することができますが、同一のルールで両方の条件を使用することはできません。「エンティティリスクポリシーの検出設定」を参照してください。
    • [Any detection(任意の検出)]:任意の種類のアクティビティを検出するには、このオプションを選択します。
    • [Include at least one of the following detections(少なくとも次のいずれかの検出を含める)]:検出するアクティビティの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前をクリックして選択します。さらに検出を追加するには、この手順を繰り返します。
    • [Exclude at least one of the following detections(少なくとも次のいずれかの検出を除外する)]:除外するアクティビティの名前と一致するテキストを入力します。Oktaは、入力内容と一致する結果を表示します。名前をクリックして選択します。検出をさらに除外するには、この手順を繰り返します。
    AND Entity risk level(エンティティリスクレベル)

    使用できるのは、各検出タイプの特定のエンティティリスクレベルのみです。検出タイプごとにどのリスクレベルを使用できるかが示されたテーブルを「エンティティリスクポリシーの検出設定」で参照した上でOktaに戻り、使用する検出タイプのリスクレベルを選択します。

    リスクレベルを選択します。

    • [Any(任意)]:任意のリスクレベルのイベントを検出します。
    • [Low(低)]:低リスクレベルのイベントを検出します。
    • [Medium(中)]:中リスクレベルのイベントを検出します。
    • [High(高)]:高リスクレベルのイベントを検出します。

    エンティティリスクポリシーの検出設定」を参照してください。

  5. THEN条件を構成します。これらの条件は、構成した条件が検出された場合にOktaがどのように対応するかを指定します。

    THEN 説明
    THEN Take this action(このアクションを実行) 次のいずれかのアクションを選択します。
    • [No further action(さらなるアクションなし)]:ルールの条件がorgで検出された場合に、さらなるアクションを実行しません。このオプションを選択しても、イベント自体はログに記録されます。
    • ログアウトとトークンの取り消し
      • [Users are logged out of Okta and x apps(Oktaとxアプリからユーザーをログアウト)]:クリックすると、ユーザーをログアウトさせるアプリが表示されます。
      • [Universal Logout]と[部分的Universal Logout]Universal Logoutをサポートするアプリと部分的Universal Logoutをサポートするアプリがあります。エンティティリスクポリシーまたはユーザーセッションを消去アクションによってUniversal Logoutがトリガーされ、Okta IDプロバイダーセッションが終了すると、Oktaはエンティティリスクレベルを低に変更します。「対応アプリにUniversal Logoutを構成する」を参照してください。
    • [Run a Workflow(Workflowを実行)]:このオプションを選択すると、[Workflow triggered by action(アクションによってトリガーされるWorkflow)]ドロップダウンが表示されます。

    AND Workflow triggered by action(アクションによってトリガーされるWorkflow)

    このドロップダウンは、[Run a Workflow(Workflowを実行)]を選択すると表示されます。

    ドロップダウンをクリックするか、委任されたワークフローの名前を入力し、クリックしてそれを選択します。選択できるのは、既存の委任フローのみです。新しいポリシールールを満たすためにフローの作成が必要になるときは、「ポリシーアクションの委任フローを作成する」を参照してください。

    各ポリシールールに割り当てることができるのは、1つの委任フローのみであるため、リスクレベルごとに個別のルールが必要になります

  6. [Save(保存)]をクリックします。

関連項目

エンティティリスクポリシー

エンティティリスク検出ウィジェット

エンティティリスクレポート