リスク検出

早期アクセスリリース

検出は、Oktaリスクエンジンの副産物です。リスクエンジンは、ユーザーのサインイン時とセッション中にリスクを計算します。その上で、各検出に低、中、高のリスクレベルを割り当てます。リスクレベルは、ThreatInsightの評価、IPデータ、ロケーション、デバイスコンテキストに基づいて計算されます。

  • ログインリスク検出

    ユーザーがorgにアクセスする前に、Oktaはグローバルセッションポリシールールに対してサインイン試行を評価することでログインリスクレベルを計算します。評価により、前回のサインイン以降にユーザーの行動やデバイス情報に変化があったかどうかが決定され、悪意のあるIPアドレスからのリクエストであるかどうかが決定されます。Oktaは、user.session.startイベントとpolicy.evaluate_sign_onイベントの一部としてSystem Logにログインリスクデータを追加します。

  • セッションリスク検出

    セッションリスクレベルは、ユーザーのセッションが侵害される可能性を示します。

    このレベルは、認証ポリシーの継続的評価とセッションを通じて監視されるリスクインジケーターに基づいて計算されます。中または高のリスクレベルは、セッション中にブルートフォース攻撃または不審なアプリアクセスがあった可能性を示します。

    セッションリスクレベルは、セキュリティイベントプロバイダーからのリスクの報告時、またはuser.session.context.changeイベントの発生時にも計算されます。

  • エンティティリスク検出

    エンティティリスクレベルは、ユーザーのIDが侵害される可能性を示します。

    Oktaは、共有信号フレームワーク統合を含むorgのすべての脅威面に対してエンティティリスクポリシーを継続的に評価することで、各ユーザーのエンティティリスクレベルを計算します。エンティティリスクレベルは、セキュリティイベントプロバイダーからのユーザー関連リスクの報告時、またはuser.risk.changeイベントの発生時にも計算されます。

orgの監視中にOktaが特定する不審なパターンや、管理者、ユーザー、セキュリティイベントプロバイダーが特定する不審なアクティビティも検出となります。次の検出についてorgを監視するエンティティリスクポリシールールをセットアップできます。

  • ユーザーから報告される不審なアクティビティ

  • セッションの影響を受けるユーザーリスク

  • ブルートフォース攻撃の疑い

  • Okta Threat Intelligence

  • 管理者から報告されるユーザーリスク

  • 高脅威IPからのエンティティの重大アクション

  • セキュリティイベントプロバイダーから報告されるリスク

  • 不審なアプリアクセス

リスク検出を表示する

すべてのリスク検出は、System Logにキャプチャされます。特定のユーザーに関連するリスク検出に焦点を当てるには、[Directory(ディレクトリ)][People(ユーザー)]に移動してユーザープロファイルをクリックします。[リスク]タブでは、そのユーザーのセッションリスク検出とエンティティリスク検出を表示できます。テーブルの情報を使用して、アクセスレベルが上がったユーザーのアクティビティを監視したり、トラブルシューティングを行ったりできます。検出ごとに、検出タイプ、リスクレベル、行われた修復アクションなどの詳細を調べることができます。

検出の[View System Log(System Logを表示)]をクリックすると、イベントに関するより多くのコンテキストが得られます。[Provide Feedback(フィードバックを提供)]をクリックすることで、Okta AI検出の向上に協力することもできます。

関連項目

Identity Threat Protection with Okta AIを開始する