はじめに

認証イベントの発生傾向及び不正ログイン検知の可視化機能として、2023年5月にSecurity Center機能がリリースされました。これまでは、外部へのログ出力及びSIEM製品等の利用が必要でしたが、Okta CIC管理画面上の機能として提供されることになりました。

Security Center機能の活用により、Okta CICを介したログイン成功/失敗の傾向や、不正ログインの検知状況を把握できます。これらの情報は、Attack Protection機能やMFAの適用等、不正ログイン対策の検討材料として活用できます。

本ページでは、Security Center機能で確認できることをご紹介します。

Security Center機能で確認できること

Security Center機能では、以下の情報をリアルタイムで確認できます。

[Overviewタブ]

• 認証イベント総数と不正ログイン発生件数(集計値)
• Okta CICが判断した不正ログイン発生件数(時系列及び集計値)
• 発生した認証イベント件数(時系列)

[Threat Monitoringタブ]

• Attack Protection機能による検知件数(時系列)
• MFAの試行/成功/失敗件数(時系列)

各情報の表示期間範囲は、以下の選択肢から指定できます。(集計単位は、選択期間に応じて自動的に決定)

• 過去1時間
• 過去12時間
• 過去1日間
• 過去7日間
• 過去14日間

以降、詳細をご紹介します。

表示情報詳細

[Overviewタブ]

• Tenant Overview：認証イベント総数と不正ログイン発生件数(集計値)
  • Total Traffic：認証イベント総数
  • Total Threats：Okta CICが不正ログインと判断した認証イベント数
  • Threat % of total traffic：認証イベントのうち、不正ログインと判断された割合

• Threat Behavior：Okta CICが判断した不正ログインの発生件数(時系列及び集計値)
  • Threat behavior trends：不正ログイン発生件数
  • Threat behavior by app：アプリケーション別の不正ログイン発生件数
  • Threat behavior types：不正ログイン種類別の発生割合
    ・Credential stuffing：クレデンシャルスタッフィング攻撃
    ・Signup attack：機械的な新規アカウント作成試行・MFA bypass：MFA回避試行

• Authentication：発生した認証イベント件数(時系列)
  • Login attempts：ログイン成功及び失敗
  • Signup attempts：サインアップ成功及び失敗

[Threat Monitoringタブ]

• Attack Protection機能による検知件数(時系列)
  • Bot Detection：ボット攻撃(Okta CICのナレッジによる判定)の検知

• Suspicious IP Throttling：頻繁にログイン/サインアップする行為の検知

• Brute-force Protection：あるユーザに対する複数回ログイン試行の検知

• Breached Password Detection：漏洩した可能性(Okta CICによる判定)のあるパスワードを利用したログイン及びサインアップの検知

• Multi-factor Auth：MFAの試行/成功/失敗件数(時系列)
  • MFA challenges：MFA試行
  • MFA success rate：MFA成功及び失敗

おわりに

Security Centerにより、ログイン成功/失敗の傾向や、Okta CICが検知した不正ログインの発生状況等を把握できます。

リリースされたばかりの機能であり、内容的にはライトな印象を受ける点はありますが、今後拡充されていくものと期待しています。