セキュリティイベントプロバイダーから報告されるリスク

この検出は、CrowdStrikeやOmnissaなどの統合セキュリティパートナー、またはCASB（Cloud Access Security Broker）がShared Signals Framework（SSF）を介してOktaに信号を送信したときに記録されます。

検出リスクレベル：高、中、低

これは、管理者から報告されるユーザーリスクを自動化したものです。たとえば、EDRプロバイダーがユーザーのデバイスリスクレベルが高に変更されたことをOktaに通知した場合に、Oktaはこの検出を記録します。

MITRE戦術

複数の戦術

MITRE手法

プロバイダーに依存：

• コマンドおよびスクリプトインタープリター

• ユーザー実行

ポリシーの構成

エンティティリスクポリシーで、次の個別のルールを作成します。

ルール1

• 検出（Detection）：セキュリティイベントプロバイダーから報告されるリスク
• エンティティリスクレベル（Entity risk level）：高
• このアクションを実行（Take this action）：Universal Logout

ルール2（Rule 2）

• 検出（Detection）：セキュリティイベントプロバイダーから報告されるリスク
• エンティティリスクレベル（Entity risk level）：中
• このアクションを実行（Take this action）：Workflowを実行して管理者に通知します

修復戦略

1. 自動アクション：ポリシーは、パートナーツールからの信号に基づいてアクションを直ちに強制適用します。

2. 調査：調査はソースツール（EDRコンソールなど）で行われる必要があります。

   Okta System Logにイベントは表示されますが、リスク変化の元のコンテキストはパートナーのシステム内にあります。System Logで次のクエリを実行します：eventType eq "user.risk.detect" and debugContext.debugData.risk co "detectionName=Security Events Provider Reported Risk"

3. アクセスの復元：アクセスは通常、自動的に復元されます。たとえば、EDRツールでデバイスが正常であることが確認された後、新しい「リスクレベルは低」の信号がOktaに送信されます。Oktaがユーザーのリスクレベルを引き下げると、強制適用は終了します。