Okta ThreatInsightについて
Okta ThreatInsightは、サインイン試行を評価して疑わしいアクティビティがないか調べることで、orgのセキュリティを強化します。
監査目的でイベントをログに記録したり、不審なネットワークトラフィックをブロックしたりできます。Okta ThreatInsightは、不審なイベントを検出すると、そのイベントを記録してリクエストへのアクセスを拒否できます。
Okta ThreatInsightは、特定の種類の悪意のあるトラフィックをブロックします。悪意のあるIPアドレスの完全な検出、または脅威の完全な検出を保証することはできません。
資格情報を使った攻撃
Okta ThreatInsightは、資格情報を使った攻撃の攻撃を防ぐように設計されています。資格情報を使った攻撃は、脆弱な、一般的な、または盗まれたID情報に依存して、正当なユーザーになりすましたり、正当なアカウントを制御したりします。たとえば、資格情報スタッフィング攻撃は、データ侵害で盗まれたり、フィッシングキャンペーンで取得されたり、オンラインフォーラムで取引されたりしたユーザー名とパスワードに依存しています。その後、攻撃者は自動化されたツールを使用して、他のオンラインサービスでそれらをテストします。総当たり攻撃およびパスワードスプレー攻撃は、多くの場合、既知の一連のユーザー名に対して、脆弱で一般的なパスワードの体系的または自動化されたテストに依存しています。
認証の前に脅威の評価を実施
Okta ThreatInsightは、サインインリクエストを評価して、ユーザーが認証される前に潜在的な脅威を特定します。サインインリクエストが悪意のある可能性があるIPアドレスから発信されたものである場合、Oktaはorgへのユーザーアクセスを拒否します。
ブロックされたリクエストは失敗したユーザーサインイン試行として処理されません。ThreatInsightは、このようなリクエストを失敗した認証試行とは別に処理するからです。これにより、ロックアウトが減少するとともに、悪意のある可能性があるIPアドレスに関するより信頼性の高い分析が可能になります。
脅威検出のためのデータ分析と機械学習
ThreatInsightは、Okta orgとOkta認証エンドポイントに対して行われた認証リクエストを評価します。データを分析して不審なIPアドレスを特定し、各状況から学び、すべてのOkta orgに対する保護を強化します。
ThreatInsightは、詳細な分析のためにイベントを記録したり、トラフィックをブロックしたり、それ以上攻撃が検出されなくなるまで保護レベルを高めたりするように構成できます。
詳細については、「Okta ThreatInsightのシステムログイベント」を参照してください。
推奨される構成
ThreatInsightは、スタンドアロンサービスとして、または次のようなその他のセキュリティデバイスおよびサービスと連携してOkta orgを保護できます。
- Webアプリケーションファイアウォール(WAF)
- ボット管理サービス
- DDoS軽減サービス
- セキュリティアラート管理サービス
少なくともOktaでは、Okta ThreatInsightを有効にして疑わしいトラフィックをログに記録し、ブロックすることを推奨しています。
| Oktaの推奨事項 | Okta ThreatInsightを有効にして不審なIPアドレスからの認証試行をログに記録し、ブロックする。 |
| セキュリティへの影響 | 重大 |
| エンドユーザーへの影響 | 低 |
Oktaのセキュリティに関する推奨事項については、「Okta HealthInsight」をご覧ください。
信頼できるプロキシIPアドレスと信頼できないプロキシIPアドレス
ThreatInsightにより、Oktaは、信頼できるプロキシIPアドレスを介してOktaにプロキシされないリクエストの発信元クライアントのIPアドレスを正しく識別できます。リクエストが信頼できるプロキシIPアドレスを介してOktaに渡される場合、
- ネットワークゾーンのプロキシとして信頼できるIPアドレスのみを含めます。
- Okta ThreatInsightは、発信元のクライアントIPアドレスを特定できません。ネットワークゾーンに信頼済みプロキシを適切に構成しない場合、脅威検出の有効性が低下します。
詳細については、「ネットワークゾーン」と「Okta ThreatInsight評価からIPゾーンを除外する」を参照してください。