search

Behavior Detection

circle-info

Okta 공식문서

Behavior Detection and evaluationarrow-up-right

circle-exclamation

필요 라이선스

  • Adaptive Single Sign On

  • Adaptive MFA License

hashtag
1. Behavior Detection이란?

  • 사용자 계정에 비정상적인 활동이 있을 때 Okta에서 설정한 정책을 기반으로 데이터를 확인하여 추가적인 인증을 요구하거나 비정상적인 활동을 탐지할 수 있습니다.

  • 예를 들어 로그인 위치, 네트워크 영역, 디바이스 등의 정보를 기반으로 사용자의 일정한 패턴에서 벗어난 로그인 시도 등을 감지할 수 있습니다.

  • Global Session Policy에 Behavior를 설정함으로써 접근 제어 정책을 설정할 수 있습니다.

  • 예를 들어, 사용자의 행동 패턴을 기반으로 특정 리소스에 대한 접근 권한을 동적으로 조정하는 정책을 설정할 수 있습니다.

hashtag
2. Behavior가 사용 예시

circle-info

  • Behavior Detection에서 behavior를 추가해줍니다.

  • Global Session Policy에 등록한 behavior 중 'New Device', 'New Country'를 설정합니다.

  • 정책에서 새로운 Device 그리고 Country로 로그인을 시도하면, System log에 "POSITIVE"로 표시됩니다.

경로: Security ➡ Behavior Detection ➡ Add behavior

Global Session Policy에 등록한 behavior 중 'New Device', 'New Country'를 설정

새로운 Device로 로그인을 시도했더니 신원미상의 Device라고 Risk를 표시하면서 New Device=POSITIVE가 표시됩니다.

hashtag
3. Behavior Type이란?

  • 추적하려고 하는 사용자의 행동 유형을 선택해서 행동 감지를 구성할 수 있습니다. 행동 유형은 지역, 디바이스, IP 주소 또는 Velocity를 기반으로 구성합니다.

  • 예를 들어 사용자가 이전 N번의 로그인 시도 중 한 번도 방문한 적 없는 지역/디바이스/IP/지정한 반경 위치에서 로그인을 시도했을 경우와 같은 행위를 사용자 리포트 또는 로그를 통해 확인할 수 있습니다.

hashtag
3.1 Location

Type
설명
기본 설정값 및 커스텀 가능한 설정값

City

이전 로그인에 성공한 적 없는 도시입니다.

  • 최근 로그인 성공 20건과 비교하여 확인합니다.

  • 확인할 숫자를 변경할 수 있습니다.

State

이전 로그인에 성공한 적 없는 지역입니다.

  • 최근 로그인 성공 15건과 비교하여 확인합니다.

  • 확인할 숫자를 변경할 수 있습니다.

Country

이전 로그인에 성공한 적 없는 국가입니다.

  • 최근 로그인 성공 10건과 비교하여 확인합니다.

  • 확인할 숫자를 변경할 수 있습니다.

Geo-location

이전 로그인에 성공한 적 없는 지정된 반경 위치입니다.

  • 이전에 로그인에 성공한 곳에서 반경 20Km 이내의 위치에 대해 최근 20건의 로그인 성공 기록을 확인합니다.

  • 설정한 반경 밖에서 로그인을 하게 된면 비정상적 행위로 탐지됩니다.

  • 로그인 성공 횟수를 조정하거나 반경(Km)을 변경할 수 있습니다

Device

  • 이전에 로그인에 성공한 적이 없는 장치입니다.

  • 이전에 사용하지 않은 브라우저를 사용하여 로그인하면 Okta는 새 브라우저를 새 장치로 간주합니다.

  • 최근 로그인 성공 20건과 비교하여 확인합니다.

  • 확인할 숫자를 변경할 수 있습니다.

hashtag
3.3 IP

Condition Type
설명
기본 설정값

IP address

  • 이전에 로그인에 성공한 적 없는 IP입니다.

  • 최근 로그인 성공 50건과 비교하여 확인합니다.

  • 확인할 숫자를 변경할 수 있습니다.

hashtag
3.4 Velocity

Condition Type
설명
기본 설정값

Velocity

  • 의심스러운 로그인을 식별하는 데 사용되는 속도 측정값입니다.

  • 속도는 두 번의 후속 사용자 로그인 사이의 거리와 경과 시간을 기준으로 평가됩니다.

  • 두 번의 연속 로그인 사이의 지리적 거리와 경과 시간을 비교하여 확인합니다.

  • 기본값은 805km/h(500mph)입니다.

hashtag
4. Behavior Detection 시스템 로그 이벤트

시스템 로그 이벤트 값
설명

POSITIVE

  • 행동의 변화가 감지된 경우입니다.

  • MFA가 구성된 경우, 추가 인증을 요청합니다.

NEGATIVE

  • 행동의 변화가 감지되지 않았을 경우입니다.

UNKNOWN

  • 동작을 감지하기에 기록이 충분하지 않을 경우입니다.

  • MFA가 구성된 경우, 추가 인증을 요청합니다.

BAD_REQUEST

  • 로그인 시도의 정보가 충분하지 않아 동작을 감지할 수 없을 경우입니다.

  • 예를 들어 위치를 확인할 수 없거나 디바이스 식별자가 제공되지 않은 경우 BAD_REQUEST로 보고됩니다.

  • MFA가 구성된 경우, 추가 인증을 요청합니다.

PreviousRisk ScoringNextOkta ThreatInsight

Last updated