不審なセッションの検出ルールは、Box Shield内の機能です。 これは、ユーザーの位置の急速な変化を、以下のような追加のシグナルとともに検出しようとします。
- 特定の企業におけるユーザーのIPアドレスの最近の使用
- ユーザーエージェント文字列
- 一般的でないアプリケーションタイプ
- IPアドレスに関するコンテキスト
不審なセッションの検出ルールは、管理対象ユーザー、外部ユーザー、匿名ユーザーのアクティビティを監視します。
不審なセッションの検出ルールの作成、編集、削除
この検出ルールを作成または変更するには、Box Shieldアドオンが有効になっているアカウントで管理者権限 (または [会社のShield構成を作成、編集、削除する] 権限が有効になっている共同管理者権限) が必要です。
一連の手順を説明したガイドについては、脅威検出ルールの作成、編集、削除に特化したBoxのページを参照してください。
注: 各Boxアカウントに対して作成できる不審なセッションの検出ルールは1つのみです。
不審なセッション固有の設定
フィルタ条件
検出から除外するアクティビティを決定します。 以下を選択できます。
- [IPアドレスを除外する]: ルールで無視するIPアドレスを定義します。 信頼できることがわかっているIPアドレスを入力してください。 1つ以上の有効なIPアドレス、CIDR (Classless Inter-Domain Routing) ブロックをコンマで区切って入力します。 デフォルトではオフになっています。
- [統合を除外する]: ルールで無視する統合を定義します。統合名を1つ以上入力します。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効な統合名がすべて表示されるので、そのリストから選択できます。 デフォルトではオフになっています。
不審なセッションのアラート
不審なセッションのアクティビティが検出されると、Shieldダッシュボードにアラートが表示されます。
アラートには、アラートID、日付、アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス、リスクスコア、アラートの原因になったアクセスが行われたIPアドレスが含まれます。
アラートの詳細を確認するには、次の手順に従います。
- [管理コンソール] > [Shield] に移動します。
- [ダッシュボード] タブをクリックします。
- (省略可) アラートに [不審なセッション] でフィルタをかけます。
- アラートの一覧表で、アラートをクリックします。
- アラートの詳細ページが表示されます。
アラートの詳細ページには、次の内容が表示されます。
- アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、アラートの作成日、関連するセッション間の距離、関連するセッション間の時間、ターゲットユーザーを含む、アラートの概要。
- セッションの詳細: 「不審な」セッションと通常のセッションの比較を含む、アラートの原因になったユーザーアクティビティに関する情報。 IPアドレス、IP登録者、取得できたデバイスの情報などの追加情報も表示されます。
- 地理的位置情報別アクティビティ: IPアドレス、IP登録者、取得できた地域/国のデータ、セッションごとの関連ユーザーイベントを含む、アラートの原因になったセッションから特定された位置に関する情報。
- ユーザーアクティビティ: アラート発生時の当該アカウントのアクティビティに関する概要がアクティビティタイプ別に表示されます。
注: 過去1週間のアラート数は、[検出ルール] ページから確認できます。 さらに長い期間については、Shieldダッシュボードを確認してください。
ダッシュボードでは、アラートの後にフィードバックボックスが表示されます。 これを使用すると、機能の改善に役立つ提案やコメントをBoxに提供できます。
エンドユーザーへの影響
- 不審なセッションのアクティビティがユーザーのアカウントから検出されても、エンドユーザーには通知されません。このアクティビティが通知されるのはShieldの管理者のみです。
- 不審なセッションのアラートが発生しても、ユーザーの制限は適用されません。