Threat Protectionを使用したセッション保護

Oktaセッション中、初回認証後に、Identity Threat Protection with Okta AI（ITP）がユーザーの活動を継続的に監視し、IPアドレスやデバイスのコンテキストに変化がないか確認します。デフォルトでは、ITPはOkta Verifyからの信号を使用します。ITPは、Okta Verifyと統合したエンドポイントセキュリティソリューションからの信号や、Shared Signals Framework（SSF）を使用して設定したセキュリティイベントプロバイダーからの信号も使用します。

IPまたはデバイスのコンテキストの変更が検出されると、ITPはOktaセッションのグローバルセッションポリシーを再評価します。また、Oktaセッションに関連するすべてのアクティブなアプリセッションに対して、認証ポリシー（デバイスコンテキスト条件を含む）も再評価します。

セッション保護ポリシーを使用して、セッション保護違反が発生した場合にITPが実行する自動修復アクションを設定することができます。

セッション保護違反を監視する

デフォルトでは、すべてのセッション保護違反がpolicy.auth_reevaluate.failイベントとしてシステムログに記録され、これは環境のセキュリティ状況を把握する際に役立ちます。以下の方法でポリシー失敗イベントを表示し、履歴データを分析することができます。

• 管理者ダッシュボードのセッション保護違反ウィジェットでは、所定の期間におけるポリシー失敗イベントの概要を素早く確認することができます。
• セッション保護違反レポートでは、詳細なインサイトがインタラクティブな形式で提供されます。このデータをエクスポートして、さらに分析を行うことができます。
• 「Identity Threat Protectionのシステムログイベントを表示する」では、特定のイベントの詳細に焦点を当てることができます。

セッション保護ポリシーを適用する

セッション保護ポリシーを設定して、セッション保護違反が発生した場合に自動的な措置が取れるようにすることができます。たとえば、ユーザーに多要素認証を求めたり、Universal Logoutでアプリセッションを終了させたり、Okta Workflowsでカスタムアクションをトリガーさせたりすることができます。「 セッション保護ポリシーの適用」を参照してください。