適応型アクセス・アクティビティー・レポートの生成
IBM® Security Verify 管理コンソールから Adaptive Access アクティビティー・レポートを生成できます。
始める前に
- このタスクを完了するには管理者権限を持っているか、helpdesk グループのメンバーである必要があります。
- 管理者として IBM Security Verify 管理コンソールにログインします。
手順
- 「レポート」&「診断」 > 「レポート」を選択します。認証アクティビティー、アプリケーションの使用、管理者アクティビティー、および多要素認証アクティビティーのタイルが表示されます。 「適応型アクセス」タイルには、過去 24 時間の要約情報が表示されます。
- 「適応型アクセス」 タイルで 「レポートの表示」 リンクを選択します。当日の要約レポートに以下の内容が表示されます。
- 合計呼び出し回数
- 非常に高いリスクの試行回数
- 高リスクの試行回数
- 中リスクの試行回数
- 低リスクの試行回数
選択した期間での呼び出し回数のスケーラブルなグラフィカル表現が色分けされて表示されます。 マウス・ポインターを日付ラインに沿って移動させると、検出されたリスク・レベルの日次サマリーを表示できます。 期間は最大 90 日です。 グラフのスケールはデータ・セットに基づきます。時刻は現地時間で表示された呼び出しです。
個々のユーザーの認証アクティビティーも表示されます。 表 1を参照してください。 イベントに関連する詳細情報を表示するには、イベントを選択します。 適応型アクセス・イベントの詳細を参照してください。
- グラフの後には、個々のユーザーの認証アクティビティーが表示されます。
表 1. 個々のアクティビティー情報 情報 属性 説明 タイム・スタンプ time
適応型アクセス・イベントが発生した日時。 ユーザー - ユーザー名
data.username
- レルム
data.realm
以下の情報が含まれます。 - ユーザー名
- Verifyにログインするための固有 ID。 これは、ユーザーの E メール・アドレスと同一にすることができます。
- レルム
- ユーザー名が同じである複数の ID ソースからユーザーを区別するのに役立つ ID ソース属性。
この情報は、 「ユーザー」&「グループ」 > 「ユーザー」 タブ、および 「ユーザーの編集」 ダイアログ・ボックスに表示されます。
以下の ID ソースでは次のように表示されます。- Cloud Directoryの場合、レルム値は
cloudIdentityRealm
です。 - IBMid。レルム値は
www.ibm.com
です。 - SAML Enterpriseの場合、レルム値は、ID ソースの作成時に割り当てた任意の固有の名前にすることができます。
- OnPrem LDAPの場合、レルム値は、ID ソースの作成時に割り当てた任意の固有の名前にすることができます。
- Cloud Directoryの場合、レルム値は
リスク・レベル data.risk_level
- 非常に高い
- 高
- 中
- 低
Reason data.decision_reason
- MFA 保留中のデバイスからのアクセス
- デバイスで MFA が要求されていましたが、MFA が完了しませんでした。 同じユーザーの同じデバイスでの次のセッションで、MFA が再度要求されます。 リスク・スコアは前回のセッションと同じです。
- 既知の信頼できるデバイスからのアクセス
- 以前にユーザーによって使用されたデバイスを使用してアクセスが行われました。 これは、Trusteer のデバイス・インテリジェンスに基づいて信頼できるデバイスです。
- 新しい接続を使用した既知のデバイスからのアクセス
- 以前にユーザーによって使用されたデバイスを使用してアクセスが行われました。 ただし、アクセスは、別のインターネット・サービス・プロバイダー (ISP)、別の地理的位置、または別の接続方式を介して行われました。
- デバイス属性の変更があるアクセス
- 新しいデバイス、または属性が大幅に変更された既知のデバイスを使用してアクセスが行われました。 デバイス属性の変更を判別するために、ハードウェアとソフトウェアの両方の属性が調べられます。
- ユーザーの行動の変化があるアクセス
- Trusteer のリスク・エンジンは、アクセス・パターンを分析してユーザーの行動を学習します。 ユーザーの行動の変化が検出されると、アラートが送信されます。 行動の変化の例としては、就業時間後に初めてアクセスが行われた場合などが挙げられます。
- 高リスクのデバイス標識があるアクセス
- Trusteer のセキュリティー・インテリジェンスに基づいて、デバイス属性が高リスクと判別されました。 Trusteer のセキュリティー・インテリジェンスは、詳細な研究およびデータ分析に基づいて、絶えず拡張および更新されています。
- リスク・サービスが使用不可 - 中リスクが適用されます
- システムはリスク評価を完了できませんでした。 中程度のリスク・レベルに対するポリシー・アクションが適用されました。
ポリシー・アクション data.policy_action
- ブロック (オーバーライド)
- ブロック・アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
- MFA (オーバーライド)
- MFA アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
- 許可 (オーバーライド)
- 許可アクションは、ポリシーにおける他のすべての決定をオーバーライドします。
- ブロックしてリダイレクト
- ユーザーはアプリケーションにアクセスできず、指定された URL または URI にリダイレクトされます。
- ブロック
- ユーザーは拒否されます。
- 常に MFA
- 同じセッション内であっても常に MFA を必要とします。
- セッションごとに MFA
- まだ行われていない場合は、MFA を強制します。
- 続行
- ユーザーは、適応型ユーザー・レコードを更新せずに許可されます。
- 許可
- ユーザーは許可されます。
ポリシー data.policy_name
data.policy_id
イベントに適用されるポリシー名と ID。 アプリケーション data.applicationname
アクセス先のアプリケーションの名前。 場所 data.city
data.region
data.country
イベントが発生した市区町村/都市、都道府県/州、国。 デバイス data.browser
data.os
デバイスが使用していたブラウザーとオペレーティング・システム。 クライアント IP data.origin
認証要求を行ったデバイスの IP アドレス。 詳細には、アドレスの脅威値を評価するための X-Force IP report
リンクが含まれています。イベントに関連する詳細情報を表示するには、イベントを選択します。 適応型アクセス・イベントの詳細を参照してください。
- オプション: 結果をフィルタリングするには、 「フィルター」 を選択します。次の項目で検索できます。
- ID
- フィルターの選択肢は、ユーザー名とレルムです。
- ソース
- フィルターの選択肢は、クライアント IP とロケーションです。
- イベントの詳細
- フィルターの選択肢には、リスク・レベル、ポリシー名、ポリシー ID、アプリケーション名、理由、およびセッション ID があります。
注: 検索フィールドには大/小文字の区別があります。 - レポートの日付範囲を変更します。「開始」日と「終了」日を選択してカレンダーのドロップダウンを表示し、レポートの日付を選択します。 90 日より前にさかのぼることはできません。注: 「終了」 の日付は、現在日付を超えることはできません。
- 「レポートの実行」を選択します。レポート情報が最新表示されます。
- オプション: レポートの CSV ファイルを生成します。
- 「CSV の生成」をクリックします。
- CSV レポートのダウンロードの指示に従ってください。