Identity Threat Protection with Okta AIのシステムログイベント

早期アクセスリリース

Identity Threat Protection with Okta AIは以下のタイプのイベントを記録します。

  • 認証ポリシーの継続的アクセス評価が失敗したとき
  • ユーザーのセッションコンテキストが変更されたとき
  • エンティティのリスクレベルが変更されたとき
  • Shared Signals Frameworkを介してセキュリティイベントトークンを受信したとき

Oktaの各イベントタイプの詳細については、「イベントタイプ」を参照してください。

システムログイベントの表示

  1. Admin Consoleで、[Reports(レポート)][System Log(システムログ)]に移動します。
  2. 任意。日付範囲を設定し、ユーザー名を入力します。
  3. [Search(検索)]フィールドの横にある虫眼鏡アイコンをクリックします。

ユーザーのプロファイルでは、[View Logs(ログを表示)]を選択してシステムログイベントにアクセスできます。[ユーザーのリスクプロファイル] > [ユーザー関連の検出]テーブルでは、イベントの横にある[View System Log(システムログを表示)]をクリックしてそのシステムログエントリを表示できます。

システムログイベントタイプ

Oktaでは、ポリシーおよびエンティティリスクイベント用に複数のシステムログイベントが用意されています。

イベントタイプごとに、[Behaviors(動作)]フィールドと[Risk(リスク)]フィールドに失敗の理由が表示されます。ほとんどのイベントタイプでは、[actor(アクター)]フィールドにリクエストに関連するユーザー名が表示されます。

特定のイベントタイプを検索するには、次のクエリを[System Log Search(システムログの検索)]フィールドに貼り付けます。eventType eq "<event type>"(例:eventType eq "policy.continuous_access.evaluate")

継続的アクセス

  • policy.auth_reevaluate.fail:orgの認証またはグローバルセッションポリシーが再評価され、違反が見つかったときに表示されます。
  • policy.continuous_access.actionOktaがユーザーの設定済みアプリからユーザーをログに記録したときか、認証またはグローバルポリシーの違反に対応してワークフローを実行したときに表示されます。
  • policy.continuous_access.evaluate:継続的アクセス評価が発生したときに表示されます。

エンティティリスクポリシー

  • policy.entity_risk.actionOktaがエンティティリスクポリシーを評価し、アクションを呼び出したときに表示されます。
  • policy.entity_risk.evaluateOktaがユーザーのセッションコンテキストまたはIPアドレスの変更を特定したときに表示されます。

エンティティリスク

  • user.risk.change:エンティティのリスクレベルが変更されたときに表示されます。
  • user.session.context.changeOktaがエンティティリスクポリシーを評価し、エンティティのリスクレベルの変更を特定したときに表示されます。

管理者フィードバック

analytics.feedback.provide:スーパー管理者がユーザーリスクの検出に関するフィードバックを提供したときに表示されます。

Universal Logout

  • user.session.endOktaがアクセス違反に対応してUniversal Logoutを呼び出したときに表示されます。
  • user.session.clear:管理者がユーザーのセッションをクリアしたときに表示されます。
  • user.session.universal_logoutOktaまたは管理者がユーザーに対してUniversal Logoutを呼び出したときに表示されます。
  • user.authentication.universal_logoutOktaまたは管理者がアプリケーションインスタンスに対してUniversal Logoutを呼び出したときに表示されます。

Shared Signals Framework

  • security.events.provider.receive_eventOktaがセキュリティイベントプロバイダーからリスクシグナルを受信したときに表示されます。
  • device.signals.status.timeout:ユーザーに関連付けられている登録済みデバイスが必要な時間間隔内にOktaと通信しなかったときに表示されます。

ワークフロー

workflows.user.delegatedflow.runOktaがアクセス違反に対応して委任フローを呼び出したときに表示されます。

関連項目

システムログ

検出

Identity Threat Protection with Okta AIレポート