アイデンティティ脅威保護のシステムログイベントを表示する

アイデンティティ脅威保護は、ユーザーのセッションコンテキストまたはエンティティのリスクレベルの変更を検出すると、システムログにイベントを記録します。ITPは、認証ポリシーのセッション保護が失敗したときや、Shared Signals Frameworkを通じてセキュリティイベントトークンを受信したときにもイベントを記録します。イベントの詳細については、「Identity Threat Protectionのイベントタイプ」を参照してください。

System Logイベントの表示

  1. Admin Consoleレポート(Reports) > システムログ(System Log)に移動します。

  2. 日付範囲を設定し、ユーザー名を入力します。

  3. 検索(Search)フィールドの横の虫眼鏡アイコンをクリックします。

ユーザーのプロファイルからシステムログイベントを表示することもできます。

  1. Admin Consoleで、ディレクトリ(Directory) > ユーザー(People)に進みます。

  2. ユーザーを選択します。

  3. ユーザーのプロフィールで、ログを表示(View Logs)をクリックします。

  4. 日付範囲を設定して、検索(Search)フィールドの横の虫眼鏡アイコンをクリックします。

システムログイベントタイプ

特定のイベントタイプを検索するには、システムログの検索(System Log Search)フィールドに次のクエリを貼り付けます:eventType eq "<event type>" (for example, eventType eq "policy.auth_reevaluate.enforce")

イベントタイプごとに、動作(Behaviors)フィールドとリスク(Risk)フィールドに失敗の理由が表示されます。ほとんどのイベントタイプでは、[アクター]フィールドにイベントに関連するユーザー名が表示されます。

管理者フィードバック

analytics.feedback.provide:スーパー管理者がユーザーリスクの検出に関するフィードバックを提供すると表示されます。

エンティティリスク

user.risk.detect:エンティティのリスクレベルが変更されたときに表示されます。このイベントは以前、user.risk.changeとしてログされていました。2024年9月に名前が変更されました。このイベントは、Adaptive MFAが有効になっている組織で利用できます。ただし、表示するにはスーパー管理者ロールが直接割り当てられている必要があります。

エンティティリスクポリシー

  • policy.entity_risk.actionOktaがエンティティリスクポリシーを評価し、アクションを呼び出すと表示されます。
  • policy.entity_risk.evaluateOktaがエンティティリスクポリシーを評価し、エンティティリスクレベルの変化が特定されると表示されます。

Okta Verify

device.signals.status.timeout:ユーザーと関連付けられている登録済みデバイスが、求められる間隔内にOktaと通信しなかった場合に表示されます。

セッション保護

  • policy.auth_reevaluate.enforce:セッションコンテキストの変化の結果としてセッション保護の評価が行われると表示されます。このイベントは以前、policy.continuous_access.evaluateとしてログされていました。2024年9月に名前変更されました。
  • policy.auth_reevaluate.fail:orgの認証/グローバルセッションポリシーが再評価され、ポリシー違反が発生すると表示されます。
  • policy.auth_reevaluate.actionOktaがユーザーを構成済みアプリからサインアウトした場合、または認証/グローバルセッションポリシー違反への対応としてワークフローが実行した場合に表示されます。このイベントは以前、policy.continuous_access.actionとしてログされていました。2024年9月に名前変更されました。

セッションリスク

user.session.context.changeOktaがユーザーのセッションコンテキスト、デバイスコンテキスト、またはIPアドレス(ただし、IPアドレスが信頼できるプロキシで設定されている場合を除く)の変更を特定したときに表示されます。このイベントは、Adaptive MFAが有効になっている組織で利用できます。ただし、表示するにはスーパー管理者ロールが直接割り当てられている必要があります。

Shared Signals Framework

security.events.provider.receive_eventOktaがセキュリティイベントプロバイダーからリスクシグナルを受信したときに表示されます。このイベントは、Adaptive MFAが有効になっている組織で利用できます。ただし、表示するにはスーパー管理者ロールが直接割り当てられている必要があります。

Universal Logout

  • user.session.end:アクセス違反への対応としてOktaUniversal Logoutを呼び出したときに表示されます。
  • user.session.clear:管理者がユーザーのセッションをクリアしたときに表示されます。
  • user.session.universal_logoutOktaまたは管理者がユーザーのUniversal Logoutを呼び出したときに表示されます。
  • user.authentication.universal_logout:アプリケーションインスタンスに対してOktaまたは管理者がUniversal Logoutを呼び出したときに表示されます。
  • user.authentication.universal_logout.scheduled:アプリインスタンスに対して管理者がUniversal Logoutを手動でトリガーしたときに表示されます。

Workflows

workflows.user.delegatedflow.run:セッション違反への対応としてOktaが委任フローを呼び出したときに表示されます。

関連項目

システムログ

検出

Identity Threat Protectionレポート