適応型アクセス・アクティビティー・レポートの生成

オンラインで編集

管理コンソール IBM® Verify から、Adaptive Accessのアクティビティレポートを生成できます。

始める前に

  • このタスクを完了するには管理者権限を持っているか、helpdesk グループのメンバーである必要があります。
  • IBM Verify 管理者として管理コンソールにログインしてください。

手順

  1. 「レポートと診断 」>「 レポート 」を選択します。
    認証アクティビティー、アプリケーションの使用、管理者アクティビティー、および多要素認証アクティビティーのタイルが表示されます。 「適応型アクセス」タイルには、過去 24 時間の要約情報が表示されます。
  2. Adaptive access 」タイルにある「 レポートを表示」 リンクを選択します。
    当日の要約レポートに以下の内容が表示されます。
    • 合計呼び出し回数
    • 非常に高いリスクの試行回数
    • 高リスクの試行回数
    • 中リスクの試行回数
    • 低リスクの試行回数

    選択した期間での呼び出し回数のスケーラブルなグラフィカル表現が色分けされて表示されます。 マウス・ポインターを日付ラインに沿って移動させると、検出されたリスク・レベルの日次サマリーを表示できます。 期間は最大 90 日です。 グラフのスケールはデータ・セットに基づきます。時刻は現地時間で表示された呼び出しです。

    個々のユーザーの認証アクティビティーも表示されます。 表1を参照。 イベントに関連する詳細情報を表示するには、イベントを選択します。 Adaptive Accessのイベント詳細をご覧ください。

  3. グラフの後には、個々のユーザーの認証アクティビティーが表示されます。
    表 1. 個人の活動情報
    情報 属性 説明
    タイム・スタンプ time 適応型アクセス・イベントが発生した日時。
    ユーザー
    ユーザー名
    data.username
    レルム
    data.realm
    		 以下の情報が含まれます。
    ユーザー名
    Verify. にログインするための一意の識別子。 これは、ユーザーの E メール・アドレスと同一にすることができます。
    レルム
    ユーザー名が同じである複数の ID ソースからユーザーを区別するのに役立つ ID ソース属性。

    この情報は、 「ユーザーとグループ 」>「 ユーザー」 タブおよび「 ユーザーの編集 」ダイアログボックスに表示されます。

    以下の ID ソースでは次のように表示されます。
    • cloudIdentityRealmCloud Directory では、レルム値は. です。
    • www.ibm.comIBMid の場合、領域の値は. です。
    • SAML 「エンタープライズ」の領域値には、ID ソースの作成時に割り当てた任意の一意の名前を指定できます。
    • OnPrem LDAP、realm 値には、ID ソースの作成時に割り当てた一意の名前を任意に指定できます。
    リスク・レベル data.risk_level
    • 非常に高い
    Reason data.decision_reason 表2を参照。
    ポリシー・アクション data.policy_action
    詳細を確認するには、こちらへ移動してください
    ユーザーはアプリケーションにアクセスできず、指定された URL またはURIにリダイレクトされます。
    ブロック (オーバーライド)
    ブロック・アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    MFA (オーバーライド)
    MFA アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    許可 (オーバーライド)
    許可アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
    ブロックしてリダイレクト
    ユーザーはアプリケーションにアクセスできず、指定された URL またはURIにリダイレクトされます。
    ブロック
    ユーザーは拒否されます。
    常に MFA
    同じセッション内であっても常に MFA を必要とします。
    セッションごとに MFA
    まだ行われていない場合は、MFA を強制します。
    続行
    ユーザーは、Adaptiveのユーザーレコードを更新することなく許可されます。
    許可
    ユーザーは許可されます。
    ポリシー
    • data.policy_name
    • data.policy_id
    		 イベントに適用されるポリシー名と ID。
    アプリケーション data.applicationname アクセス先のアプリケーションの名前。
    ロケーション
    • data.city
    • data.region
    • data.country
    		 イベントが発生した市区町村/都市、都道府県/州、国。
    デバイス
    • data.browser
    • data.os
    		 デバイスが使用していたブラウザーとオペレーティング・システム。
    クライアント IP data.origin 認証要求を行ったデバイスの IP アドレス。 詳細には、アドレスの脅威値を評価するためのX-Force IP reportリンクが含まれています。
    表 2. 決定の理由
    決定理由 説明
    MFA 保留中のデバイスからのアクセス デバイスで MFA が要求されていましたが、MFA が完了しませんでした。 同じユーザーの同じデバイスでの次のセッションで、MFA が再度要求されます。 リスク・スコアは前回のセッションと同じです。
    既知の信頼できるデバイスからのアクセス 以前にユーザーによって使用されたデバイスを使用してアクセスが行われました。 これは、Trusteer のデバイス・インテリジェンスに基づいて信頼できるデバイスです。
    新しい接続を使用した既知のデバイスからのアクセス 以前にユーザーによって使用されたデバイスを使用してアクセスが行われました。 ただし、アクセスは、別のインターネット・サービス・プロバイダー (ISP)、別の地理的位置、または別の接続方式を介して行われました。
    デバイス属性の変更があるアクセス 新しいデバイス、または属性が大幅に変更された既知のデバイスを使用してアクセスが行われました。 デバイス属性の変更を判別するために、ハードウェアとソフトウェアの両方の属性が調べられます。
    ユーザーの行動の変化があるアクセス Trusteer のリスク・エンジンは、アクセス・パターンを分析してユーザーの行動を学習します。 ユーザーの行動の変化が検出されると、アラートが送信されます。 行動の変化の例としては、就業時間後に初めてアクセスが行われた場合などが挙げられます。
    高リスクのデバイス標識があるアクセス Trusteer のセキュリティー・インテリジェンスに基づいて、デバイス属性が高リスクと判別されました。 Trusteer のセキュリティー・インテリジェンスは、詳細な研究およびデータ分析に基づいて、絶えず拡張および更新されています。
    リスク・サービスが使用不可 - 中リスクが適用されます システムはリスク評価を完了できませんでした。 中程度のリスク・レベルに対するポリシー・アクションが適用されました。
    現行セッションで MFA を渡した装置からのアクセス このユーザーのアカウントには、現在のセッションで多要素認証(MFA)に正常に通過したデバイスからアクセスされました。
    マルチファクター認証の失敗後に同じデバイスによるアクセス ユーザーのアカウントに、以前に多要素認証(MFA)の認証に失敗したデバイスからアクセスがありました。 アクセスの正当性を確認するために、追加のMFA認証が必要です。
    危険な場所を示すアクセス ユーザーのアカウントに、リスクが高いとみなされる位置情報属性を持つ、かつ当該アカウントに関連付けられていない新しいデバイスからアクセスがありました。
    マルウェアに感染したデバイスからの不審なアクセス ユーザーのアカウントは、マルウェアに感染した端末からアクセスされました。
    「危険な言語」の警告が表示された状態でアクセスする ユーザーのアカウントに、リスクがあると見なされ、かつそのアカウントに関連付けられていないブラウザの言語設定を持つ新しいデバイスからアクセスがありました。
    リスクのあるホスティングサービスが検出された場合のアクセス ユーザーのアカウントに、そのアカウントとは関連のない、既知の危険なホスティングサービスから接続している新しいデバイスを使用してアクセスがありました。
    仮想マシンを使用してアクセスする ユーザーのアカウントには、仮想マシンの使用に関連する特徴を持つデバイスからアクセスがありました。
    リモートアクセスツールを使用したアクセス(表示) ユーザーのアカウントには、別のデバイスによって遠隔操作されているとみられる端末からアクセスがありました。

    イベントに関連する詳細情報を表示するには、イベントを選択します。 Adaptive Accessのイベント詳細をご覧ください。

  4. (任意): 結果を絞り込むには、 フィルター を選択してください。
    次の項目で検索できます。
    ID
    フィルターの選択肢は、ユーザー名とレルムです。
    ソース
    フィルターの選択肢は、クライアント IP とロケーションです。
    イベントの詳細
    フィルターの選択肢には、リスク・レベル、ポリシー名、ポリシー ID、アプリケーション名、理由、およびセッション ID があります。
    任意の組み合わせのフィルターを使用して結果を絞り込むことができます。 「フィルターの適用 (Apply filters)」を選択して、レポートを変更します。 選択したフィルターは、グラフの上に表示されます。 「再設定」リンクを選択すると、フィルターをクリアできます。
    注: 検索フィールドでは大文字と小文字が区別されます。
  5. レポートの日付範囲を変更します。
    「開始」日と「終了」日を選択してカレンダーのドロップダウンを表示し、レポートの日付を選択します。 90 日より前にさかのぼることはできません。
    注: 終了日は現在の日付より先の日付にすることはできません。
  6. レポートの実行 」を選択します。
    レポート情報が最新表示されます。
  7. オプション: レポート用の CSV ファイルを生成します。
    1. CSV を生成 」をクリックします。
    2. CSV レポートのダウンロード 」の手順に従ってください。