リスク検出
Oktaリスクエンジンは3種類のリスク検出を計算し、それに低/中/高のレベルを割り当てます。
-
ログインリスク
ログインリスクのレベルは、ユーザーの認証試行に何らかの異常がある可能性を示します。[Risk is(リスク:)]設定を構成した場合は、ユーザーがorgにアクセスする前に、Oktaはグローバルセッションポリシールールに照らしてサインイン試行を評価することでログインリスクレベルを計算します。ユーザーがリソースにサインインするたびに認証を求めるように認証ポリシールールが構成されている場合、ログインリスクレベルは認証ポリシールールに照らしてサインイン試行を評価することによっても計算されます。評価により、前回のサインイン以降にユーザーの行動やデバイス情報に変化があったかどうかが決定され、悪意のあるIPアドレスからのリクエストであるかどうかが決定されます。Oktaは、user.session.startイベントとpolicy.evaluate_sign_onイベントの一部としてSystem Logにログインリスクデータを追加します。
-
セッションリスク
セッションリスクのレベルは、ユーザーのセッションがorgに対する脅威になっている可能性を示します。Oktaがリスクレベルを継続的に計算するのは、セッション中にIP情報またはデバイスコンテキストが変化する場合のみです。中または高のリスクレベルは、セッション中にブルートフォース攻撃または不審なアプリアクセスがあった可能性を示します。Oktaは、System Logのuser.session.context.changeイベントにリスクレベルとその理由を記録します。
-
エンティティリスク
エンティティリスクレベルは、ユーザーのIDが攻撃されている可能性を示します。Oktaは、共有信号フレームワーク統合をはじめとするorgのすべての脅威面に対してエンティティリスクポリシーを継続的に評価することで、各ユーザーのエンティティリスクレベルを計算します。リスクレベルは、その時点でユーザーセッションがアクティブでない場合も計算されます。エンティティリスクポリシールールは、エンティティリスク検出とリスクレベルに基づいて修復アクションを実行するように構成できます。Oktaは、System Logのuser.risk.changeイベントにエンティティリスクレベルを記録します。
orgの監視中にOktaが特定する不審なパターンや、管理者、ユーザー、セキュリティイベントプロバイダーが特定する不審なアクティビティも検出となります。特定の検出についてorgを監視するエンティティリスクポリシールールをセットアップできます。
リスク検出を表示する
すべてのリスク検出は、System Logにキャプチャされます。特定のユーザーに関連するリスク検出に焦点を当てることもできます。管理コンソールでに移動してユーザープロファイルをクリックします。[リスク]タブでは、そのユーザーのセッションリスク検出とエンティティリスク検出を表示できます。テーブルの情報を使用して、アクセスレベルが上がったユーザーのアクティビティを監視したり、トラブルシューティングを行ったりできます。検出ごとに、検出タイプ、リスクレベル、行われた修復アクションなどの詳細を調べることができます。
検出の[View System Log(System Logを表示)]をクリックすると、イベントに関するより多くのコンテキストが得られます。[Provide Feedback(フィードバックを提供)]をクリックすることで、Okta AI検出の向上に協力することもできます。