概要
System Logにより、Okta管理者はorg内でログ記録されたイベントの詳細を確認でき、Okta Admin Consoleで参照、検索、またはフィルタリングすることができます。
System Logのイベントは、System Log APIを介してプログラムでクエリーおよびフィルタリングすることもでき、サードパーティーのセキュリティ監視ツールにエクスポートまたはストリームすることもできます。Oktaではイベントを90日間保持するため、より長い保持期間が必要な場合は、サードパーティー製の監視ツールが役立ちます。
Oktaでは、イベントタイプの包括的なリストを保持し、検出または監査の目的で使用します。
以下の1つ目の表には、セキュリティ担当者がアカウント乗っ取りの試みを検出する際に使用する、一般的なイベントを一部記載しています。これらは、多くの場合、他(Okta以外)のソースからのイベントと組み合わせて使用されます。
2つ目の表には、管理者またはカスタマーサポート担当者によって生じたイベントのみを記載しており、これらは、監査の際に役立ちます。
ユーザーアクティビティ
| Event(イベント) | EventType | コンテキストの詳細 |
|---|---|---|
| ユーザーによる、疑わしいアクティビティの報告 | eventType eq "user.account.report_suspicious_activity_by_enduser" | エンドユーザーのセキュリティ通知に応答して、ユーザーが疑わしいアクティビティを報告する。 |
| ThreatInsight検知:悪意ある振る舞いに関与しているIPからのアクセスリクエスト | eventType eq "security.threat.detected" | 詳細については、こちら。 |
| ThreatInsight検知:特定のorgを狙った既知の悪意あるIPからのアクセスリクエスト | eventType eq "security.attack.start" | 詳細については、こちら。 |
| ユーザーがMFAプッシュ要求を拒否 | eventType eq "user.mfa.okta_verify.deny_push" | このイベントは、プッシュ要求の承認を求められたユーザーが、[いいえ、私ではありません]を選択した場合にログに記録される。 |
| MFAによるユーザー認証 | eventType eq "user.authentication.auth_via_mfa" AND outcome.result eq "FAILURE" | 失敗が繰り返し生じているコンテキストに関連する。Okta Identity Engineでは、パスワードは「要素」と見なされるため、失敗したイベントには不正なパスワードも含まれます。 |
| ユーザーの振る舞い検知(Adaptive MFA)^ | eventType eq "user.session.start" AND debugContext.debugData.behaviors co "POSITIVE" OR eventType eq "policy.evaluate.sign_on" AND debugContext.debugData.behaviors co "POSITIVE" | 通常はポリシーの適用に使用されるが、新しいデバイス、ネットワークの場所、移動不可能な状況を示す情報には、調査中にコンテキストを提供する役割もある。詳細については、こちら。 |
| リスクスコアリングイベント(Adaptive MFA)^^ | eventType eq "user.session.start" AND debugContext.debugData.risk co "HIGH" OR eventType eq "policy.evaluate_sign_on" AND debugContext.debugData.logOnlySecurityData co "HIGH" | 通常はポリシーの適用に使用されるが、セキュリティ管理者が、高リスクのスコアを持つイベントをフィルタリングする際にも使用可能。詳細については、こちら。 |
| 使用停止中のユーザーがセルフサービスによるパスワードリセットを試行 | eventType eq "user.account.reset_password" AND outcome.result eq "FAILURE" AND outcome.reason eq "User suspended" | 既知の悪意あるアクティビティのコンテキストにのみ関連。 |
| セルフサービスのパスワードリセット中にユーザーがチャレンジに失敗 |
eventType eq "user.account.reset_password" AND outcome.result eq "FAILURE" and outcome.reason eq "User answered recovery question invalid" | 既知の悪意あるアクティビティのコンテキストにのみ関連。 |
| ユーザーアカウントのロック | eventType eq "user.account.lock.limit" | 既知の悪意あるアクティビティのコンテキストにのみ関連。 |
| ユーザーパスワードのリセット(認証されていないユーザーによる) | eventType eq "user.account.reset_password" | 既知の悪意あるアクティビティのコンテキストにのみ関連。 |
| アプリケーションへのシングルサインオン | eventType eq "user.authentication.sso" | アクターがどのアプリにアクセスしたかを監査するのに便利。[target.alternateId]フィールドには、ターゲットとなるアプリの名前が含まれる。 |
* これには、Adaptive MFAを使用するorgの管理者が、振る舞い検知を最初に設定する必要があります。
** これには、Adaptive MFAを使用するorgの管理者が、アプリケーションまたはOktaサインオンポリシールールの条件として、リスクスコアリングを最初に設定する必要があります。
管理者のアクティビティ
| Event(イベント) | EventType |
|---|---|
| ユーザーがなりすましサポートへのアクセスを許可 | eventType eq "user.session.impersonation.grant" |
| なりすまし(サポート)セッションの開始 | eventType eq "user.session.impersonation.initiate" |
| SuperUserからユーザーのメールアカウントに送信されたユーザーのパスワードリセット | eventType eq "user.account.reset_password" AND actor.alternateId eq "system@okta.com" and transaction.id eq "unknown" |
| SuperUserからユーザーのメールアカウントに送信された一時パスワード | eventType eq "user.account.update_password" AND actor.alternateId eq "system@okta.com" |
| 管理者による新しい(アクセス)APIの作成 | eventType eq "system.api_token.create" |
| 新しいユーザーまたはグループへの管理者権限の割り当て | eventType eq "user.account.privilege.grant" OR eventType eq "group.privilege.grant" |
| 新しいカスタム管理者ロールの作成 | eventType eq "iam.role.create" |
| カスタム管理者ロールへの権限の追加 | eventType eq "iam.role.permissions.add" |
| Okta Admin Consoleへのアクセス | eventType eq "user.session.access_admin_app" |
| ユーザーのすべての要素をリセット | eventType eq "user.mfa.factor.reset_all" |
| 要素のアクティブ化または非アクティブ化 | eventType eq "user.mfa.factor.deactivate" OR eventType eq "user.mfa.factor.activate" |
| ユーザーの要素の一時停止(または解除) | eventType eq "user.mfa.factor.suspend" OR eventType eq "user.mfa.factor.unsuspend" |
