Identity Threat Protectionのシステムログイベントを表示する

これらのイベントの一部は、Adaptive MFA が有効化されているorgで利用できます。これらのorgでは、それらを表示するにはスーパー管理者ロールが直接割り当てられている必要があります(グループの割り当てはありません)。

Identity Threat Protection with Okta AIは、ユーザーのセッションコンテキストまたはエンティティのリスクレベルの変更を検出すると、システムログにイベントを記録します。ITPは、認証ポリシーのセッション保護が失敗したときや、Shared Signals Frameworkを通じてセキュリティイベントトークンを受信したときにもイベントを記録します。イベントの詳細については、「Identity Threat Protectionのイベントタイプ」を参照してください。

System Logイベントの表示

  1. Admin Consoleで、[Reports(レポート)][System Log]に移動します。

  2. 日付範囲を設定し、ユーザー名を入力します。

  3. [検索]フィールドの横の虫眼鏡アイコンをクリックします。

ユーザーのプロファイルからSystem Logイベントを表示することもできます。

  1. Admin Consoleで、[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. ユーザーを選択します。

  3. ユーザーのプロフィールで、[View Logs(ログを表示)]をクリックします。

  4. 日付範囲を設定して、[Search(検索)]フィールドの横の虫眼鏡アイコンをクリックします。

システムログイベントタイプ

特定のイベントタイプを検索するには、[System Log Search(System Logの検索)]フィールドに次のクエリを貼り付けます:eventType eq "<event type>"(例:eventType eq "policy.auth_reevaluate.enforce")

イベントタイプごとに、[Behaviors(動作)]フィールドと[Risk(リスク)]フィールドに失敗の理由が表示されます。ほとんどのイベントタイプでは、[アクター]フィールドにイベントに関連するユーザー名が表示されます。

管理者フィードバック

  • analytics.feedback.provide:スーパー管理者がユーザーリスクの検出に関するフィードバックを提供すると表示されます。

エンティティリスク

  • user.risk.detect:エンティティのリスクレベルが変更されたときに表示されます。このイベントは以前、user.risk.changeとしてログされていました。2024年9月に名前が変更されました。このイベントは、Adaptive MFAが有効になっている組織で利用できます。ただし、表示するにはスーパー管理者ロールが直接割り当てられている必要があります。

エンティティリスクポリシー

  • policy.entity_risk.actionOktaがエンティティリスクポリシーを評価し、アクションを呼び出すと表示されます。
  • policy.entity_risk.evaluateOktaがエンティティリスクポリシーを評価し、エンティティリスクレベルの変化が特定されると表示されます。

Okta Verify

  • device.signals.status.timeout:ユーザーと関連付けられている登録済みデバイスが、求められる間隔内にOktaと通信しなかった場合に表示されます。

セッション保護

  • policy.auth_reevaluate.enforce:セッションコンテキストの変化の結果としてセッション保護の評価が行われると表示されます。このイベントは以前、policy.continuous_access.evaluateとしてログされていました。2024年9月に名前変更されました。
  • policy.auth_reevaluate.fail:orgの認証/グローバルセッションポリシーが再評価され、ポリシー違反が発生すると表示されます。
  • policy.auth_reevaluate.actionOktaがユーザーを構成済みアプリからサインアウトした場合、または認証/グローバルセッションポリシー違反への対応としてワークフローが実行した場合に表示されます。このイベントは以前、policy.continuous_access.actionとしてログされていました。2024年9月に名前変更されました。

セッションリスク

  • user.session.context.changeOktaがユーザーのセッションコンテキスト、デバイスコンテキスト、またはIPアドレス(ただし、IPアドレスが信頼できるプロキシーで設定されている場合を除く)の変更を特定したときに表示されます。このイベントは、Adaptive MFAが有効になっている組織で利用できます。ただし、表示するにはスーパー管理者ロールが直接割り当てられている必要があります。

Shared Signals Framework

  • security.events.provider.receive_eventOktaがセキュリティイベントプロバイダーからリスク信号を受信したときに表示されます。このイベントは、Adaptive MFAが有効になっている組織で利用できます。ただし、表示するにはスーパー管理者ロールが直接割り当てられている必要があります。

Universal Logout

  • user.session.end:アクセス違反への対応としてOktaUniversal Logoutを呼び出したときに表示されます。
  • user.session.clear:管理者がユーザーのセッションをクリアしたときに表示されます。
  • user.session.universal_logoutOktaまたは管理者がユーザーのUniversal Logoutを呼び出したときに表示されます。
  • user.authentication.universal_logout:アプリケーションインスタンスに対してOktaまたは管理者がUniversal Logoutを呼び出したときに表示されます。
  • user.authentication.universal_logout.scheduled:アプリインスタンスに対して管理者がUniversal Logoutを手動でトリガーしたときに表示されます。

Workflows

  • workflows.user.delegatedflow.run:セッション違反への対応としてOktaが委任フローを呼び出したときに表示されます。

関連項目

System Log

エンティティリスクポリシーの検出設定

Identity Threat Protectionレポート