概要
ExaforceはOktaに接続して、すべての検出と調査にIDコンテキストを取り入れます。プラットフォームは Okta のサインインアクティビティ、ポリシー決定、デバイスコンテキスト、ポスチャシグナルを取り込み、そのデータをアプリケーション、クラウド、エンドポイントのアクティビティと関連付けます。その結果、誰が、どこから、どの程度の信頼を得て何をしたのかを一箇所で把握できます。
仕組み
Exaforce アプリケーションは API サービス統合として公開されています。OAuth 2.0 認証を使用して Okta API に接続し、監査イベントログ、アプリケーション、セッション、設定ポリシーに安全にアクセスします。いったん接続されると、Exaforce は継続的にこのデータを取り込み、企業全体で豊富な ID コンテキストを構築します。このプラットフォームは、Okta のユーザーとグループの情報を、クラウドサービス、生産性向上アプリ、エンドポイントなどの他のツールからのアクティビティと関連付けて、チームが行動をエンドツーエンドで追跡できるようにします。Exaforceのアナリティクスは、OktaのテレメトリとThreat Insightsを組み合わせることで、ノイズを低減しながら正確な検出を可能にします。また、サインイン、ファクターチャレンジ、ポリシー決定、結果としてのアクションをフルタイムラインのガイド付きで詳細に調査できます。
コア機能
ExaforceはOktaをエンタープライズ・アイデンティティ・グラフのスパインとして使用しています。Okta のユーザーを他のシステムのアカウントに結び付け、デバイスとネットワークのコンテキストを関連付け、雇用状況やチームメンバーなどのビジネスメタデータを追加します。このプラットフォームは、異常なセッション作成、要因の誤用、危険な新しいデバイス、突然の権限変更などの検出を行います。Okta Threat Insightsは、既知の不正アドレスと自動化パターンに関する最新のシグナルを基に、各調査結果を充実させます。アナリストは、調査を終えることなく、ID、アプリケーション、ネットワークの各ビューをじっくり見ることができます。
検出された攻撃の例
Exaforceは、パスワードステップに合格したがマルチファクターステップで阻止された悪質なアクターを頻繁に監視してフラグを立てます。このプラットフォームは、素早いプッシュプロンプト、繰り返される拒否、一貫性のないデバイス動作を追跡することで、多要素疲労キャンペーンを特定します。ノイズの多いアドレスによる大量のログインエラーを相互に関連付けることで、パスワードのスプレーアクティビティを特定し、それらのソースからの繰り返しの試みを自動的に抑制します。こうした振る舞いが発生すると、Exaforce はそれらを対象の ID、危険にさらされているアプリケーション、関係する地域に関連付けて、適切な対策を推奨します。
レスポンスアクション
セキュリティチームは、セキュリティ侵害が疑われる場合、ユーザーまたはグループのマルチファクターをリセットできます。アカウントの乗っ取りを防ぐため、パスワードをリセットしたり、セッションを無効化したりできます。IP アドレスまたは特定の範囲がスプレーや自動悪用に使用された場合、そのアドレスまたは範囲をブロックできます。オプションのレスポンス権限により承認制のアクションが可能になるため、チームは統制と監査機能を活用して迅速に行動できます。
継続的な姿勢とリスク評価
Exaforceは、Oktaの構成と使用状況を継続的に評価して、潜在的なリスクや構成ミスがインシデントになる前に特定します。これには、管理アクセス、多要素強み、グループインテグリティ、API トークンの健全性、ネットワーク露出などの分野の評価が含まれます。こうした継続的なポスチャチェックにより、特権アカウントの MFA の弱さや古い API トークンなどの発見が明らかになり、セキュリティチームが積極的にOkta環境を強化し、企業全体で強固なIDセキュリティを維持できるようになります。
メリット
ID コンテキストにより、アラートを理解するまでの時間が短縮され、誤検出が減少します。ツール間の相関関係により、ユーザーの行動とリスクの全体像を把握できます。自動化により、検知から封じ込めまでの道のりが短縮されます。継続的なポスチャ評価により、ポリシーとベストプラクティスの整合性が保たれ、リスクが軽減されます。
