Identity Threat ProtectionのSystem Logイベント

Identity Threat Protection with Okta AIは、次のタイプのイベントを記録します。

  • 認証ポリシーの認証後セッションの評価に失敗したとき
  • ユーザーのセッションコンテキストが変更されたとき
  • エンティティリスクレベルが変更されたとき
  • Shared Signals Frameworkを介してセキュリティイベントトークンを受信する

Oktaの各イベントタイプの詳細については、「Identity Threat Protectionのイベントタイプ」を参照してください。

システムログイベントの表示

  1. Admin Consoleで、[Reports(レポート)][System Log(システムログ)]に移動します。
  2. 任意。日付範囲を設定し、ユーザー名を入力します。
  3. [Search(検索)]フィールドの横にある虫眼鏡アイコンをクリックします。

ユーザーのプロファイルでは、[View Logs(ログを表示)]を選択してシステムログイベントにアクセスできます。[ユーザーのリスクプロファイル] > [ユーザー関連の検出]テーブルでは、イベントの横にある[View System Log(システムログを表示)]をクリックしてそのシステムログエントリを表示できます。

システムログイベントタイプ

Oktaでは、ポリシーおよびエンティティリスクイベント用に複数のシステムログイベントが用意されています。

イベントタイプごとに、[Behaviors(動作)]フィールドと[Risk(リスク)]フィールドに失敗の理由が表示されます。ほとんどのイベントタイプでは、[アクター]フィールドにリクエストに関連するユーザー名が表示されます。

特定のイベントタイプを検索するには、[System Log Search(System Logの検索)]フィールドに次のクエリを貼り付けます:eventType eq "<event type>"(例:eventType eq "policy.auth_reevaluate.enforce")

認証後セッション

  • policy.auth_reevaluate.enforce:セッションコンテキストの変化の結果として認証後セッションの評価が行われると表示されます。このイベントは以前、policy.continuous_access.evaluateとしてログされていました。2024年9月に名前変更されました。
  • policy.auth_reevaluate.fail:orgの認証/グローバルセッションポリシーが再評価され、ポリシー違反が発生すると表示されます。
  • policy.auth_reevaluate.actionOktaがユーザーを構成済みアプリからサインアウトした場合、または認証/グローバルセッションポリシー違反への対応としてワークフローが実行した場合に表示されます。このイベントは以前、policy.continuous_access.actionとしてログされていました。2024年9月に名前変更されました。

エンティティリスクポリシー

  • policy.entity_risk.actionOktaがエンティティリスクポリシーを評価し、アクションを呼び出すと表示されます。
  • policy.entity_risk.evaluateOktaがエンティティリスクポリシーを評価し、エンティティリスクレベルの変化が特定されると表示されます。

エンティティリスク

  • user.risk.detect:エンティティのリスクレベルが変更されたときに表示されます。このイベントは以前、user.risk.changeとしてログされていました。2024年9月に名前変更されました。

セッションリスク

  • user.session.context.changeOktaがユーザーのセッションコンテキストまたはIPアドレスの変更を特定したときに表示されます。

管理者フィードバック

analytics.feedback.provide:スーパー管理者がユーザーリスクの検出に関するフィードバックを提供すると表示されます。

Universal Logout

  • user.session.end:アクセス違反への対応としてOktaUniversal Logoutを呼び出したときに表示されます。
  • user.session.clear:管理者がユーザーのセッションをクリアしたときに表示されます。
  • user.session.universal_logoutOktaまたは管理者がユーザーのUniversal Logoutを呼び出したときに表示されます。
  • user.authentication.universal_logout:アプリケーションインスタンスに対してOktaまたは管理者がUniversal Logoutを呼び出したときに表示されます。
  • user.authentication.universal_logout.scheduled:アプリインスタンスに対して管理者がUniversal Logoutを手動でトリガーしたときに表示されます。

Shared Signals Framework

  • security.events.provider.receive_eventOktaがセキュリティイベントプロバイダーからリスク信号を受信したときに表示されます。
  • device.signals.status.timeout:ユーザーと関連付けられている登録済みデバイスが、求められる間隔内にOktaと通信しなかった場合に表示されます。

Workflows

workflows.user.delegatedflow.run:セッション違反への対応としてOktaが委任フローを呼び出したときに表示されます。

関連項目

System Log

エンティティリスクポリシーの検出設定

Identity Threat Protectionレポート