ThreatInsightの有効化

ThreatInsight機能は、不審なIPからログインの試みがあった際に、それを検出し、検出ログを出力したり、ログインをブロックするアクションを実行するものです。この機能を利用することで、不審なIPから繰り返し実行されるログインの試みによるロックアウトを防ぐことが可能となります。このログ出力とブロック機能の有効化はOkta社により推奨されています。

• ThreatInsightの有効化

ThreatInsightの有効化

• Security > General画面へ遷移し、画面最後部の「Okta ThreatInsight Settings」を表示させる
• Editをクリック

• Action項目にて任意の値を選択

No action

ThreatInsight機能が無効化される。

Log authentication attempts from malicious IPs

不審IPからのログイン試み発生時、SystemLogへログ出力される。

Log and block authentication attempts from malicious IPs

不審IPからのログイン試み発生時、SystemLogへのログ出力とともに、ログインをブロックさせ、HTTP403エラーをレスポンスする。（Okta社推奨値）

• Exempt Zones項目にて不審IP判定の対象外とするゾーンを指定、ゾーンは事前に定義してく
  例：自社オフィスからのアクセスを判定対象外にするため、オフィスのグローバルIPを定義した「Corporate Network」を指定

• Saveをクリック

不審ログイン試み発生時のSystem Log出力を有効にしている場合は、以下のように出力される。

System Logで該当イベントを抽出するには、検索バーにて「eventType eq “security.threat.detected”」と入力

Workforce Identity Cloud 基本設定動作ガイド一覧はこちら