脅威に基づくユーザーブロック

オンラインで編集

脅威ベースのアクセスポリシーを活用して不審なユーザーを自動的にブロックし、SSOフロー中にIPベースの保護をユーザーレベルでの適用へと拡大することで、進行中の攻撃に積極的に対処します。

始める前に

  • このタスクを完了するには管理者権限が必要です。
  • IBM® Verify 管理者として管理コンソールにログインしてください。 詳細については、 「 IBM Verify へのアクセス」 を参照してください。

このタスクについて

現在、攻撃者は複数の地域にわたるユーザーに対して、多要素認証(MFA)デバイス(音声/SMS OTP)を大量に登録しており、その結果、顧客は脅威検知サービスを通じて特定された侵害されたアカウントを手動で無効化せざるを得ない状況となっています。 IPアドレスに基づくブロック機能は利用可能ですが、不審なユーザーを自動的に遮断する方法は存在しません。 この課題に対処するためには、SSOフロー中のユーザーレベルでのブロック機構が必要である。

脅威インテリジェンス(TI)サービスが強化され、現在のSSOセッションからの情報が userId 追加されたことで、認証済みユーザーが不審な人物であるかどうかを特定できるようになりました。

ibm:threat_is_suspicious_userSSOフロー用に新しいカスタム属性が作成されます:。 これは、既存の脅威関連のカスタム属性と同様であり、SSOフロー中に利用可能です。

手順

  1. IBM Verifyで管理者としてログインしてください。 プロフィールアイコンに移動し、 「管理者モードに切り替える」 をクリックしてください。
  2. [セキュリティ ] > [アクセスポリシー] を選択します。 Accessポリシーを作成するか、既存のポリシーを更新します。
    • ibm:threat_is_suspicious_userカスタム属性を使用して、 ポリシー規則(SSO) を定義します。 例えば、以下のとおりです。

      条件 :ibm:threat_is_suspicious_user が true である

      アクション :MFAをブロックまたは強制する、または許可する

  3. アクセスポリシーを保存して公開します。
  4. [アプリケーション ] > [アプリケーション設定 ] > [サインオン ] の順に選択し、作成したポリシーを選択したアプリケーションに追加します。

次の手順

  • ユーザーが に IBM Verify ログインし、アプリケーションにアクセスしようとすると、脅威インテリジェンス(TI)サービスが、そのユーザーが不審な人物かどうかを評価します。
  • ユーザーが不審とみなされた場合、アクセスポリシールールで定義されたアクションに基づき、そのユーザーはブロックされるか、多要素認証(MFA)が要求されます。
  • ユーザーが不審な点がない場合、そのユーザーはアプリケーションにアクセスすることが許可されます。