エンティティリスクポリシールールを追加する

エンティティリスクポリシーにルールを追加して、エンティティリスクの変化への対応をカスタマイズします。

orgには、エンティティリスクを監視し、user.risk.detectイベントをSystem Logに記録する、デフォルトのキャッチオールルールを含む1つのエンティティリスクポリシーがあります。別のシナリオまたは異常なアクティビティを監視して対応するルールを追加することができます。たとえば、リスクレベルが中のアクティビティをorgで監視し、それに応じて委任されたワークフローを実行する1つのルールを追加します。さらに、org内の高リスクのアクティビティを監視し、アプリ、Okta、または両方からユーザーをサインアウトさせる2番目のルールを追加します。キャッチオールルールよりも、両方の新しいルールを優先させます。

開始する前に

スーパー管理者ロール、またはポリシーを管理する(Manage policy)権限とエンティティリスクポリシー(Entity risk policy)リソースセットを含むカスタムロールを所有している必要があります。

Oktaがポリシー違反を検出した場合に委任されたフローを起動するときは、エンティティリスクポリシーを追加する前に、委任されたフローを作成します。

このタスクを開始する

  1. 管理者ダッシュボードセキュリティ(Security) > エンティティリスクポリシー(Entity Risk Policy)に移動します。または、セキュリティ(Security) > Identity Threat Protectionに移動します。レスポンスの構成(Configure response)セクションで、エンティティリスクポリシーに移動する(Go to entity risk policy)をクリックします。
  2. ルールを追加(Add Rule)をクリックします。
  3. ルール名(Rule Name)を入力します。
  4. ユーザーのグループメンバーシップ:(User's group membership includes)で、ルールに含める、またはルールから除外するユーザーグループを指定します。
    • [Any group(任意のグループ)]
    • 次のグループのうち少なくとも1つ(At least one of the following groups)
  5. 検出(Detection)で、Oktaに検出させる、または除外させるアクティビティを指定するオプションを選択します。
    • 任意の検出
    • Include at least one of the following detections(次の検出のうち少なくとも1つを含める:)
    • Exclude at least one of the following detections(次の検出のうち少なくとも1つを除外する:)
  6. エンティティリスクレベル(Entity Risk Level)を選択します。
    • [Any(すべて)]
  7. このアクションを実行(Take this action)フィールドで、構成した条件が検出された場合にOktaがどのように対応するかを指定します。
    • さらなるアクションなし(No further action):アクションは何も実行されません。このオプションを選択しても、イベント自体はログに記録されます。
    • ログアウトしてトークンを取り消す(Logout and revoke tokens) > ユーザーをOktaとxアプリからサインアウト(Users are signed out of Okta and x apps):クリックすると、ユーザーがサインアウトされるアプリが表示されます。
    • ログアウトしてトークンを取り消す(Logout and revoke tokens) > Universal Logoutと部分的Universal Logout(Universal Logout and Partial Universal Logout)Universal Logoutをサポートするアプリと部分的Universal Logoutをサポートするアプリがあります。エンティティリスクポリシーまたはユーザーセッションを消去(Clear user sessions)アクションによってUniversal Logoutがトリガーされ、Okta IDプロバイダーセッションが終了すると、Oktaはエンティティリスクレベルを低に変更します。「アプリ向けにUniversal Logoutを構成する」を参照してください。
    • Workflowを実行(Run a Workflow):このオプションを選択すると、アクションによってトリガーされるWorkflow(Workflow triggered by action)ドロップダウンメニューが表示されます。
  8. Workflowを実行する(Run a Workflow)を選択した場合は、アクションによってトリガーされるWorkflow(Workflow triggered by action)ドロップダウンメニューをクリックするか、委任されたワークフローの名前を入力します。
  9. 保存(Save)をクリックします。

ルールを更新する

ルールを表示するには、エンティティリスクポリシー(Entity Risk Policy)ページを使用します。ルールをアクティブ化、非アクティブ化、削除、または編集したり、ルールの評価順序を変更したりできます。

  1. 管理者ダッシュボードセキュリティ(Security) > エンティティリスクポリシー(Entity Risk Policy)に移動します。または、セキュリティ(Security) > Identity Threat Protectionに移動します。レスポンスの構成(Configure response)セクションで、エンティティリスクポリシーに移動する(Go to entity risk policy)をクリックします。
  2. ルールをアクティブ化または非アクティブ化するには、目的のルールのアクション(Actions)をクリックしてオプションを選択します。非アクティブ化されたルールは、システムログにルール一致エントリを生成しません。
  3. ルールを削除するには、アクション(Actions)メニューをクリックし、非アクティブ化(Deactivate)を選択します。アクション(Actions)をもう一度クリックし、削除(Delete)を選択します。
  4. ルールをドラッグアンドドロップして、優先度を並べ替えます。

関連項目

エンティティリスクポリシー(Entity risk policy)

エンティティリスク検出ウィジェット

エンティティリスクレポート