MFA失敗の監査レポート

注記:

「MFA失敗の監査レポート」の情報は、以前は「ID検証失敗レポート」で表示できました。既存のデータを「身分証明書の失敗レポート」から「MFA失敗の監査レポート」に移行することで、構成されている全ドメインの、全てのMFA失敗のエントリを統合して表示できます。

移行手順についてはこちらをご参照ください。

MFA失敗の監査レポートには、ユーザー名、MFAの試行時間、ユーザーに割り当てられているポリシー、MFA失敗の時間、MFAが試行されたエンドポイントの種類、MFAの試行数、マシンのIPアドレス、試行されたMFAの種類など、失敗したすべてのMFAの詳細が表示されます。

この情報は、管理者がブルートフォース攻撃や辞書攻撃などのセキュリティリスクに対処する際に役立ちます。

idv_failure_filter

MFA失敗の監査レポートの作成手順以下の通りです。

  1. 管理者またはオペレーター権限でADSelfService Plus管理ポータルにログインし、[レポート]→[MFAレポート]→[MFA失敗の監査レポート]に移動します。
  2. [ドメインの選択]から対象のドメインを選択します。
  3. 必要に応じて、[OUの選択]から対象のOUを選択します。
  4. [期間]のドロップダウンから、レポート作成の対象期間を選択できます。今日、昨日、過去7日間、過去30日間、今月、先月ユーザー設定の範囲から選択できます。
  5. [作成]をクリックします。
idv_failure_filter
  • 属性の追加、削除: 属性を追加、削除するには、レポートの右端にある属性の追加/削除追加または削除]オプションをクリックします。表示される[テーブルに表示する属性の選択]のポップアップ画面で、[利用可能な属性]から表示する属性を選択し、右矢印 (>>) をクリックして[選択した属性]に移動させます。属性を削除するには、[選択した属性]で不要なフィールドを選択し、左矢印 (<<) をクリックして[利用可能な属性]に移動させます。
  • 属性の並び変え:[選択した属性]から値を選択し、上へおよび下へボタンを押下することで、属性の位置を変更することもできます。

属性のヘッダー(状態属性とオーセンティケータ属性を除く)をクリックすると、レポートのエントリが昇順または降順で表示されます。

  • レポート作成後、レポート画面の右端にあるフィルターフィルター]アイコンをクリックし、以下のパラメータを使用してエントリを絞り込むことができます。
    • idv_failure_filter
    • 名前:ユーザー名でMFAの試行を絞り込むことができます。絞り込みに使用可能な条件は、[~を含む]、[~を含まない]、[は]、[でない]、[で始まる][で終わる]です。
    • 試行元:MFAが失敗したエンドポイントの名前で結果を絞り込むことができます。絞り込みに使用可能な条件は、[~を含む]、[~を含まない]、[は]、[でない]、[で始まる][で終わる]です。
    • IPアドレス:IPアドレスで結果を絞り込むことができます。絞り込みに使用可能な条件は、[~を含む]、[~を含まない]、[は]、[でない]、[で始まる][で終わる]です。
    • 状態:登録が成功したか失敗したかによって結果を絞り込むことができます。
    • 試行操作:失敗したMFA操作に基づいて、または特定の操作を除外することで、結果を絞り込むことができます。絞り込みに使用可能な操作は、ADSelfServiceログイン、マシンログインMFA - RDPクライアント、マシンログインMFA - RDP Server、ユーザーアカウント制御MFA、マシンログインMFA - ロック解除、マシンログイン、OWAログイン、パスワードをリセット、SSOアプリケーションログイン、アカウントロックの解除、VPNログインです。
    • オーセンティケータ:MFAが試行された認証システムに基づいて、結果を絞り込むことができます。特定の認証システムを指定または除外することで結果を絞り込みます。
    • アクセスモード:MFAが試行されたエンティティの種類に基づいて、結果を絞り込むことができます。特定のエンティティの種類を指定または除外することで結果を絞り込みます。絞り込みに使用可能なサブオプションは、アンドロイドApp、デスクトップサイト、iOSアプリ、Linuxログインエージェント、macOSログインエージェント、モバイルサイト、VPNログイン、Windowsログインエージェントです。
    • ポリシー名:ポリシー名で失敗したMFAの試行を絞り込むことができます。絞り込みに使用可能な条件は、[~を含む]、[~を含まない]、[は]、[でない]、[で始まる][で終わる]です。
  • レポート内の特定のデータを検索するには、検索アイコン]をクリックします。
  • ユーザー名、ポリシー名、およびMFAの試行元のIPアドレスを使用して、特定のユーザーを検索できます。
  • 検索は「~を含む」という条件を使用して実行されます。例えば、ユーザー名属性で[jack]という単語を検索すると、[jack]という配列を含むすべてのユーザー名が検索結果として表示されます。
  • [スケジュールレポート]オプションを使用すると、指定した間隔でレポートが生成されるようにスケジュール設定し、管理者や、技術担当者、上司などに自動的にレポートをメールで送信できます。スケジュールレポートの設定方法については、こちらをご参照ください。
  • 画面右上にある[エクスポート]オプションを使用すると、レポートをCSV、PDF、XLS、XLSX、HTMLCSVDE形式でエクスポートできます。
  • 画面右上にある[詳細]オプションには、[印刷表示]、[メールを送る]、および[エクスポート設定]オプションが表示されます。
    • [印刷表示]オプションは、レポートのプレビューおよび印刷に使用できます。
    • [メールを送る]オプションは、希望のメールアドレスにレポートを送信するのに使用できます。
    • [エクスポート設定]を使用して、レポートのタイトルや各ページに表示するヘッダーのロゴなどをカスタマイズすることもできます。

MFA失敗の監査レポートへの移行

ID検証失敗レポートの既存の情報をMFA失敗の監査レポートに移行することで、ADSelfService Plusで構成されている全ドメインでのMFA失敗のインシデントを、一つの画面でまとめて表示することができます。

ドメインの特権管理者とADSelfService Plusの特権管理者が移行を実行できます。ドメインの特権管理者がID検証失敗レポートからMFA失敗の監査レポートにデータを移行する場合、構成されている全ドメインの全てのMFA失敗の記録が移行されます。

注記:ID検証失敗レポートの過去3か月間のデータのみが、MFA失敗の監査レポートに移行されます。

既存の情報をID検証失敗レポートからMFA失敗の監査レポートに移行する手順は以下の通りです。

idv_failure_filter
  1. 特権管理者の認証情報を使用してADSelfService Plusにログインし、[レポート]→[MFAレポート]→[MFA失敗の監査レポート]に移動します。
  2. レポートの右上にある[ID検証失敗レポート]のリンクをクリックします。
    3. idv_failure_filter
  3. ID検証失敗レポートが読み込まれます。レポートの右上にある[今すぐ移行]をクリックします。
  4. 表示されるポップアップ画面で[今すぐ移行]をクリックします。

データは新しいMFA失敗の監査レポートに移行されます。

注記:ID検証失敗レポートは、MFA失敗の監査レポートの右側にある[ID検証失敗レポート]のリンクをクリックすると表示できます。このリンクは、レポートの作成に使用したデータが存在する限り表示されます。ただし、古いデータが削除された場合、[ID検証失敗レポート]のリンクは表示されません。