Behavior Detection
필요 라이선스
Adaptive Single Sign On
Adaptive MFA License
1. Behavior Detection이란?
사용자 계정에 비정상적인 활동이 있을 때 Okta에서 설정한 정책을 기반으로 데이터를 확인하여 추가적인 인증을 요구하거나 비정상적인 활동을 탐지할 수 있습니다.
예를 들어 로그인 위치, 네트워크 영역, 디바이스 등의 정보를 기반으로 사용자의 일정한 패턴에서 벗어난 로그인 시도 등을 감지할 수 있습니다.
Global Session Policy에 Behavior를 설정함으로써 접근 제어 정책을 설정할 수 있습니다.
예를 들어, 사용자의 행동 패턴을 기반으로 특정 리소스에 대한 접근 권한을 동적으로 조정하는 정책을 설정할 수 있습니다.
2. Behavior가 사용 예시
경로: Security ➡ Behavior Detection ➡ Add behavior
3. Behavior Type이란?
추적하려고 하는 사용자의 행동 유형을 선택해서 행동 감지를 구성할 수 있습니다. 행동 유형은 지역, 디바이스, IP 주소 또는 Velocity를 기반으로 구성합니다.
예를 들어 사용자가 이전 N번의 로그인 시도 중 한 번도 방문한 적 없는 지역/디바이스/IP/지정한 반경 위치에서 로그인을 시도했을 경우와 같은 행위를 사용자 리포트 또는 로그를 통해 확인할 수 있습니다.
3.1 Location
City
이전 로그인에 성공한 적 없는 도시입니다.
최근 로그인 성공 20건과 비교하여 확인합니다.
확인할 숫자를 변경할 수 있습니다.
State
이전 로그인에 성공한 적 없는 지역입니다.
최근 로그인 성공 15건과 비교하여 확인합니다.
확인할 숫자를 변경할 수 있습니다.
Country
이전 로그인에 성공한 적 없는 국가입니다.
최근 로그인 성공 10건과 비교하여 확인합니다.
확인할 숫자를 변경할 수 있습니다.
Geo-location
이전 로그인에 성공한 적 없는 지정된 반경 위치입니다.
이전에 로그인에 성공한 곳에서 반경 20Km 이내의 위치에 대해 최근 20건의 로그인 성공 기록을 확인합니다.
설정한 반경 밖에서 로그인을 하게 된면 비정상적 행위로 탐지됩니다.
로그인 성공 횟수를 조정하거나 반경(Km)을 변경할 수 있습니다
Device
이전에 로그인에 성공한 적이 없는 장치입니다.
이전에 사용하지 않은 브라우저를 사용하여 로그인하면 Okta는 새 브라우저를 새 장치로 간주합니다.
최근 로그인 성공 20건과 비교하여 확인합니다.
확인할 숫자를 변경할 수 있습니다.
3.3 IP
IP address
이전에 로그인에 성공한 적 없는 IP입니다.
최근 로그인 성공 50건과 비교하여 확인합니다.
확인할 숫자를 변경할 수 있습니다.
3.4 Velocity
Velocity
의심스러운 로그인을 식별하는 데 사용되는 속도 측정값입니다.
속도는 두 번의 후속 사용자 로그인 사이의 거리와 경과 시간을 기준으로 평가됩니다.
두 번의 연속 로그인 사이의 지리적 거리와 경과 시간을 비교하여 확인합니다.
기본값은 805km/h(500mph)입니다.
4. Behavior Detection 시스템 로그 이벤트
POSITIVE
행동의 변화가 감지된 경우입니다.
MFA가 구성된 경우, 추가 인증을 요청합니다.
NEGATIVE
행동의 변화가 감지되지 않았을 경우입니다.
UNKNOWN
동작을 감지하기에 기록이 충분하지 않을 경우입니다.
MFA가 구성된 경우, 추가 인증을 요청합니다.
BAD_REQUEST
로그인 시도의 정보가 충분하지 않아 동작을 감지할 수 없을 경우입니다.
예를 들어 위치를 확인할 수 없거나 디바이스 식별자가 제공되지 않은 경우 BAD_REQUEST로 보고됩니다.
MFA가 구성된 경우, 추가 인증을 요청합니다.
Last updated