| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11g リリース2 (11.1.2) B70199-02 |
|
前 |
次 |
Oracle Adaptive Access Managerには、セキュリティ・アナリストやコンプライアンス担当者が使用するための合理化された強力なフォレンジック・インタフェースが用意されています。ユーザーは、容易にアラートを評価し、関連するアクセス・リクエストやトランザクションを特定して、不正や誤用を見つけることができます。
この章の内容は次のとおりです。
Oracle Adaptive Access Managerでは、不正や誤用を防ぐためのタスクのほとんどが自動化されています。防止は、リスクを分析し、防止措置(非常にリスクが高い状況ではアクセスのブロック、リスクが中程度の場合はKBAやOTPなどのメカニズムによるユーザーに対するチャレンジ)を取ることによって行われます。すべてのOAAMデプロイメントで、エッジ・ケース、偽陰性またはリアルタイムの禁止が不可能であるか望ましくない場合のいずれかの状況において、人による確認の方法が必要になります。これらのシナリオでは、調査担当者が各インシデントを確認し、関連するインシデントを見つけるためのフォレンジック調査を行い、将来のリスク評価において偽陽性や偽陰性が減少するような影響を及ぼすアクションを実行することが必要となります。
調査担当者が必要になるシナリオの例を次に示します。
Jeffは、BigMartチームの不正アナリストです。彼は不正を特定するために疑わしいトランザクションを確認します。デプロイメントでは主に、ケースの手動作成および調査フローが使用されます。不正アナリストは、各調査の手始めに、重大度の高いアラートを含むトランザクションを検索します。不正が特定されたら、不正アナリストは検索を記録し、各種エンティティをブラックリストに記載し、処置とともにケースを終了します。
Jeffは、BigMartチームの不正アナリストです。デプロイメントでは主に、ケースの自動作成および調査フローが使用されます。アナリストは、各調査の手始めに、新しいケースを検索します。ケースが生成されたセッションを詳しく調べます。不正が特定されたら、アナリストは検索を記録し、各種エンティティをブラックリストに記載し、処置とともにケースを終了します。
John Smithは、BigBankのカスタマ・サービスに電話をかけ、自分のアカウントからお金が失われていることを伝えます。Johnによると、先週、彼のアカウントから$129が電信送金されましたが、彼はこの送金を行っていません。Sarahは、BigMartのカスタマ・サービス担当(CSR)です。彼女は、Johnのユーザー名jsmithを使ってケース321を開き、Johnから聞いた情報を基にノートを入力します。ケースのタイトルにはJohnのユーザー名が表示されるため、このケースを表示するCSRは誰でも、常にこのケースの対象ユーザーが誰なのかがわかります。Sarahはケースをエスカレーションし、jsmithに、24時間以内に調査担当者から連絡があることを伝えます。MikeはBigBankセキュリティ・チームで働いています。彼は、カスタマ・サービス関連のセキュリティに関する問題の調査を担当しています。彼は、「エスカレーション済」ステータスのケースを検索し、日付でフィルタします。Mikeは、CSRのSarahが新しくエスカレーションしたケースを開きます。Mikeはまず最初に、カスタマおよびユーザー固有のデータとCSRのノートを表示します。彼は、John Smithが行った、金額が$100から$200の間の電信送金トランザクションを検索します。Mikeは、見つかったトランザクションを比較して、これが不正の可能性があるかどうかを判別します。
Jeffは、Acme Corpのセキュリティ・アナリストです。Acmeには、デプロイメントで定義された、オンライン購入とユーザー・プロファイルを変更するトランザクションがあります。Jeffは、郵便番号が95060である住所を含むトランザクションを検索します。彼は、すべてのトランザクション・タイプを選択し、address.zipcodeのフィルタを追加します。問合せを実行すると、結果に郵便番号列が表示されます。郵便番号列が追加されると、残りの列の幅が調整され、使用可能な画面スペースが最適化されます。
Jeffは、Acme Corpのセキュリティ・アナリストです。Acmeには、デプロイメントで定義された、オンライン購入とユーザー・プロファイルを変更するトランザクションがあります。Jeffは、合計金額が$500より多いE-Commerceのトランザクションを検索しています。彼は、E-Commerceのトランザクション・タイプを選択し、合計金額のフィルタを追加します。「フィールドの追加」メニューには、特定のエンティティ、エンティティ・データとリンクされたエンティティ・データがすべて含まれています。問合せを実行すると、結果に合計金額列が表示されます。新しい列が追加されると、残りの列の幅が調整され、使用可能な画面スペースが最適化されます。
不正調査の目的は、不正が行われているかどうか、およびその他に関連するインシデントがないかどうかを判別するために、人間の知恵または電子的でない介入(またはその両方)が必要となるリスクの高いシナリオがセキュリティ・ポリシーによって検出された場合に、そのような状況を評価することです。不正調査担当者は、疑わしいセッションとイベント間のトランザクション・データを調査して、関連するインシデントを見つけます。OAAM調査インタフェースは、調査プロセスを簡略化および合理化するように設計されています。
調査担当者がOracle Adaptive Access Managerにアクセスし、これを使用して調査を行うには、特定の権限が付与された適切なロールを持っている必要があります。ユーザー・ロールによって、アプリケーション内でユーザーが実行できるタスクが決まります。ロールは、ユーザーが実行する作業のタイプに関連付けられます。権限も、各ロールが実行できる機能を指定するために、アプリケーション内で定義されます。ユーザーのロールおよび権限に応じて、使用できるメニューとオプションが異なります。
不正調査担当者および不正調査マネージャは、Oracle Adaptive Access Managerで提供されている即時利用可能なロールです。不正調査担当者または不正調査マネージャは、不正シナリオおよび疑わしいパターンの調査を担当します。表5-1に、不正調査担当者に関連付けられている、即時利用可能な権限をまとめます。
不正調査担当者は、なんらかの理由で調査が必要であるために、CSRケースからエスカレーションされた、自動生成または手動作成のエージェント・ケースを使用して、特定の不正シナリオまたは疑わしいパターンを調査します。不正調査マネージャもケースを調査しますが、不正調査担当者は実行権限を持たないアクションも実行できます。表5-1に、不正調査担当者と不正調査マネージャの権限を並べて示します。
表5-1 不正調査ロールの権限
| アクション | 調査担当者の権限 | 調査マネージャの権限 |
|---|---|---|
|
アクション |
調査担当者ロールのすべての機能 |
調査担当者ロールのすべての機能と特別な権限 |
|
ケースの検索 |
|
|
|
新規ケースの作成脚注 1 |
エージェント・ケースのみ |
エージェント・ケースのみ |
|
ケースの詳細表示 |
|
|
|
ケースの編集 |
|
|
|
セッションの検索 |
セッションの検索 |
セッションの検索 |
|
セッションのリンク付け |
セッションのリンク付け |
セッションのリンク付け |
|
セッションのリンク解除 |
セッションのリンク解除 |
セッションのリンク解除 |
|
リンク・セッションの表示 |
リンク・セッションの表示 |
リンク・セッションの表示 |
|
グループへの追加 |
グループへの追加 |
グループへの追加 |
|
ケースへのリンク |
ケースへのリンク |
ケースへのリンク |
|
すべてのエンティティおよびトランザクション・データをクリア・テキストで表示 |
不正調査担当者と調査マネージャは、すべてのエンティティおよびトランザクション・データをクリア・テキストで表示できます。他のロールでは、すべての暗号化されたエンティティまたはトランザクション・データ・フィールドでマスキングされたテキストが表示されます。 |
不正調査担当者と調査マネージャは、すべてのエンティティおよびトランザクション・データをクリア・テキストで表示できます。他のロールでは、すべての暗号化されたエンティティまたはトランザクション・データ・フィールドでマスキングされたテキストが表示されます。 |
脚注 1 デフォルトでは、調査担当者と調査マネージャのみがエージェント・ケースの作成権限を持っています。調査担当者のアクセス権のプロパティはoaam.permission.creatagentcase=oaam.perm.create.case.type.agentです。CSRは、権限が付与された場合に、エージェント・ケースへのアクセス権を得ることができます。この権限の付与の詳細は、C.2.8項「エージェント・ケースへのアクセスの構成」を参照してください。
OAAMには、フォレンジック調査に応じたケース管理機能が用意されています。OAAMエージェント・ケースは、不正セッションおよびトランザクションの調査を管理し実行するために使用される調査結果や調査情報に関するリポジトリです。エージェント・タイプ・ケースに固有な機能の一部を次に示します。エージェント・ケースは、次の操作を実行するために使用されます。
調査担当者は、ケースを利用して、調査の過程で収集された情報を取得します。
ケースは、調査のライフ・サイクルを管理するために使用されます。
デバイス、場所およびその他のエンティティをホワイトリストまたはブラックリストに記載します。
調査結果に基づき、将来のリスク評価に反映します。
調査結果をスプレッドシートにエクスポートします。
不正ケースを作成する決定は、そのソースから行われます。ソースの例は次のとおりです。
調査担当者は、指定日から連続的にセッションを監視または分析します。緊急の対応が必要な高い不正アラートを見つけると、調査担当者はエージェント・ケースを提起します。不正調査担当者は、ケースを取得し、さらに詳細な調査を開始します。不正調査担当者は、アラート、ユーザーからの複数のブロック・セッション、デバイスからの複数のブロックされたセッション、高リスク・スコアおよびその他の状況について、エージェント・ケースを作成できます。
構成可能なアクションにより、チェックポイント実行後に結果アクションまたはリスク・スコア(またはその両方)に基づいてトリガーされる補足アクションとしてエージェント・ケースが自動的に作成されます。
CSRは、なんらかの理由で調査が必要な場合にケースをエスカレーションします。
エージェント・ケースを手動で直接作成できるのは調査担当者のみです。エージェント・ケースの作成では、ユーザー情報は表示されず、また必要ありません。エージェント・ケースを作成するために入力する必要があるのは、組織ID、名前および説明のみです。手動で作成されたエージェント・ケースは、ケースの作成時には「保留中」ステータスになっています。
自動生成ケースは、特定のルールがトリガーされたときにエージェント・ケースを作成するアクションをセキュリティ管理者が構成している場合に作成されます。つまり、特定のイベントの結果として、新しいエージェント・ケースが動的に作成されます。このエージェント・ケースには、その対象であるセッション・データが含まれます。調査担当者は、調査の手始めに、ステータスが「新規」であるすべてのケースを検索します。
これらの特別なエスカレーション済ケースはCSRによって作成されます。ケースに関連付けられている疑わしいアクティビティがある場合に、CSRは調査担当者に調査してもらうためにCSRケースを送信します。このケースにはCSRケースを作成するために使用されたユーザーの詳細情報が含まれています。エスカレーションされたケースは、エージェント・ケースとして扱われます。これはCSRには表示されなくなります。これらのケースには「エスカレーション済」ステータスが付けられており、最初にアクセスされたときに、ステータスが自動的に「保留中」に変わります。調査担当者は、調査を開始するために「エスカレーション済」ステータスを持つケースを検索し、「重大度」列の結果でフィルタして、重大度が最高のケースが先頭に表示されるようにします。エスカレーション済ケースを開き、CSRおよびCSRマネージャが入力したノートをログで確認することがベスト・プラクティスです。たとえば、ノートには、CSRが不正なアクティビティと疑われるものを見つけたために、CSRケースをエージェント・ケースにエスカレーションしたことが示されています。ログには、ケースが作成され、エスカレーションされ、アクセスされてから、ステータスが変更されたことが示されています。
「エスカレーション済」ステータスによる検索の例に、CSRマネージャがCSRケースをエスカレーションする場合があります。Mattは、カスタマ固有のセキュリティに関する問題を専門とする不正調査担当者です。彼は、「エスカレーション済」ケース・ステータスを持つすべてのケースを検索します。
エスカレーション済ケースの有効期限が切れると、期限切れフラグがそのケースに設定され、調査担当者にこのケースに対応する必要があることが通知されます。たとえば、エスカレーション済ケースが24時間に設定され、このケースが開いた状態で24時間を超えてアクセスされない場合、フラグが「有効期限切れ」に設定されます。
不正調査担当者が有効期限が切れたケースにアクセスすると、このケースは再アクティブ化され、有効期限が24時間(または構成されている時間だけ)延長されます。ケースの有効期限の構成の詳細は、C.2.7項「エージェント・ケースの有効期限動作の構成」を参照してください。
最初はエージェント・ケースを作成した調査担当者が現在の所有者
最初は、ケースを作成した調査担当者が、そのケースの現在の所有者です。
調査担当者がシステムにログインします。
調査担当者がケースを作成します。
ケース詳細ページが表示されます。
「ケース・ステータス」は「保留中」です。
「作成者」フィールドに調査担当者が表示されます。
「現在の所有者」フィールドに調査担当者が表示されます。
このケースはユーザーを対象に作成されたものではないため、ユーザーの詳細は表示されません。
現在ケースを使用中の調査担当者が現在の所有者
現在ケースを使用中の調査担当者が現在の所有者です。
調査担当者がケースを開くとすぐに、次の詳細がケース詳細ページに表示されます。
「現在の所有者」が、前の所有者からケースを開いた調査担当者に変わります。
「作成者」フィールドには引き続きケースを作成した調査担当者が示されるか、ケースが自動的に生成されたことが示されます。
ケースのステータスは「保留中」です。
ケースをエージェント・ケースにエスカレーションしたCSRにはそのケースへのアクセス権がない
CSRはケースをエスカレーションするとすぐに、検索結果表でそのケースを表示できなくなります。
CSRがシステムにログインします。
新しいケースを作成します。
ケースをエージェント・ケースにエスカレーションし、ノートを追加します。
ここで、CSRはそのケースの詳細を表示する権限を失います。
調査担当者がケースを開くと、次のことが行われます。
「現在の所有者」が、CSRから調査担当者に変わります。
「作成者」フィールドには引き続きCSRが表示されます。
ケースのステータスは「保留中」です。
ケースの同時アクセスでの所有権
OAAMでは、2人のエージェントが1つのケースに同時にアクセスできます。2人の調査担当者が1つのケースを開こうとした場合、そのケースを開いた調査担当者が現在の所有者です。
Investigator1がログインし、ステータスが「新規」であるケースを検索します。
ケースが結果に表示されます。たとえば、ケースIDが132であるケースなどです。
別のユーザーInvestigator2がログインし、ステータスが「新規」であるケースを検索します。
この場合も、ケースIDが132であるケースが結果に表示されます。
Investigator2がケースを開くと、ステータスが「保留中」に変わります。
Investigator2がこのケースの現在の所有者です。
Investigator1には、このケースは引き続き「新規」として結果に表示されます。
Investigator1はこの新しいケースを開こうとしますが、Investigator2がこのケースの現在の所有者であるというメッセージが表示され、続行するかキャンセルするかを選択できます。
キャンセルを選択した場合は、何も行われず、Investigator2が現在の所有者のままになります。
続行することを選択すると、Investigator1が現在の所有者となり、ケースのステータスが「保留中」になります。
2人の調査担当者による1つのケースへのノートの追加
OAAMではケースへの同時書込みアクセスが可能です。1つのケースに対して2人のエージェントがノートを追加すると、両方のエージェントのノートが保存されます。ノートは、正しいエージェントに表示され、帰属します。
Oracle Adaptive Access Managerのエージェント・ケースは、不正なアクティビティの調査を管理するために使用されます。エージェント・ケースは、疑わしいデータとして特定されたランタイム・データを取得し、調査ノート用にリポジトリを提供し、将来のリスク分析を向上するエンジンに調査結果をフィードバックするために作成されます。エージェント・ケースが作成された後の調査担当者の主な目的は、不正が行われているかどうかの特定を助けることです。この目的を達成するために、調査担当者は詳細ページを使用し、ページを比較して関係、パターンまたは履歴パターンを特定します。検索および詳細ページで、不正調査担当者は次の操作を実行できます。
個別のセッションを詳細に調べて、アラートが出される原因となった一連のイベントを特定します。
異なるデータ型間の複雑な関係を表示および検索します。
調査フローから外れずに、エンティティをホワイトリストやブラックリストに記載します。
これは、リスク評価にフィードバックされます。たとえば、高リスク・デバイス・グループです。
調査をさらに絞り込むために、セッション・データをケースにリンクします。
不正調査担当者は、OAAMにより取得された複雑なデータ関係を簡単に利用して、インシデントに関連するデータをすばやく表示したり、関連する状況をすぐに見つけることができます。次に、そのケースが不正であるか不正でないかを判別し、処置とともにケースを閉じます。
調査が完了すると、ケースは処置とともに閉じます。処置には、ケースがどのように解決されたか、および調査結果が将来のリスク評価にどのように反映されるかの両方が要約されています。
エージェント・ケースでは、クローズ済の調査結果をリスク・エンジンにフィードバックして、将来の評価の正確性を自動的に向上します。デプロイメントで予測リスク分析を利用している場合は、即時利用可能なクラスタリング・モデルで、確認済の不正および不正ではないことを確認済の処置を持つケースに含まれているセッションが考慮されます。
たとえば、調査担当者がエージェント・ケースを作成し、複数の不正なセッションをそのケースにリンクします。その後、調査担当者は確認済の不正の処置とともにケースを閉じます。予測モデルは、確認済の不正の処置を持つケースにリンクされているセッションのデータを反映するために、n時間ごとに再作成されます。調査担当者は、モデルの再作成頻度を決定できます。システム内の各セッションは、不正なセッションとの類似度を確認するために比較されます。類似度が高いほど、リスクが高くなります。評価の例は、確認済の不正ケースにリンクされているすべてのセッションに基づいて、確率が50%より高いログイン・セッションが不正であるかどうかがあります。
OAAMでは3つのワークフローが提供されるため、調査担当者による不正なトランザクションの調査が容易になります。調査ワークフローには、ランタイム・データを検索および比較し、関連インシデントを特定し、調査結果を取得して、将来のリスク分析に反映するためのインタフェースが含まれています。各カスタマ・デプロイメントでは通常、ビジネス・ニーズに合わせて次の3つの共通ワークフローの組合せが使用されます。
アラート中心
自動生成
エスカレーション済
調査を開始するための手順は、デプロイメントのタイプによって異なります。次の表に、調査ワークフロー・タイプごとの手順と開始方法を示します。
表5-2 調査ワークフロー
| 調査フロー | 説明 | 手順 |
|---|---|---|
|
アラート中心 |
デプロイメントでは主に、ケースの手動作成が使用されます。新規エージェント・ケースは、疑いのあるアクティビティまたは不正なシナリオが検出され、調査が必要な場合に作成されます。 |
このプロセスは、次のとおりです。 |
|
自動生成 |
デプロイでは主に、ケースの自動作成が使用されます。セキュリティ管理者は、特定のルールがトリガーされた場合にエージェント・ケースを作成するアクションを構成します。ルール(単数または複数)がトリガーされると、アクションおよびアラートの他に、ケースが自動生成されます。自動生成されたケースでは、トランザクションの確認が必要です。 |
このプロセスは、次のとおりです。 |
|
エスカレーション済 |
デプロイでは、カスタマ・サービスのエスカレーション済ケースおよび調査フローが使用されます。CSRは、不正アクティビティを疑うと、調査担当者が調査できるようCSRケースをエスカレーションします。ケースはエージェント・ケースになります。このケースはカスタマ・サービス・ケースに基づくため、特定のユーザーの情報が詳細に含まれます。 |
アラート中心の調査フロー
不正調査担当者は、各調査の手始めに重大度の高いアラートを含むセッションまたはトランザクションを検索し、疑わしいトランザクションを確認して不正を特定します。調査担当者は、インシデントに関係するデータを表示し、OAAMによって取得された複雑なデータ関係を使用して、関連する状況を検索します。また、データをリンクするケースを作成し、調査対象を絞り込みます。不正を特定したら、調査担当者は調査結果を記録し、エンティティをブラックリストに記載して、処置とともにケースを閉じます。
Henryは、Big MartのオンラインE-Commerce部門のセキュリティ・アナリストです。Henryは、OAAM調査インタフェースからトランザクションの検索ページを開きます。彼はトランザクションの検索ページで、「トランザクション・タイプ」に小売りE-Commerceを選択し、「アラート・レベル」に「高」を選択して、重大度が高のアラートを持つ、過去1時間以内のオンライン注文トランザクションを問い合せます。
検索結果に7件のトランザクションが返されます。「検索結果」表に、トランザクション、トランザクション・タイプ、トランザクション・ステータスおよびアラートが示されます。「検索結果」表には「トランザクション日」列も含まれており、これは昇順または降順でソートできます。Henryは「トランザクション日」列ヘッダーの下アイコンをクリックして、昇順タイムスタンプにより結果をフィルタします。トランザクション検索ページで、Henryは最初のトランザクションを選択し、その詳細を表示します。「検索結果」表で、「アラート」列の高アラートの隣にあるオレンジ色の四角をクリックし、ポップアップに高アラートの合計数とアラート・メッセージを表示します。ポップアップには、1つの高アラートが使用頻度の低い複数のクレジット・カードを持つデバイスというメッセージとともに表示されます。
Henryはこれを見て、「検索結果」表の「トランザクションID」をクリックし、トランザクション詳細ページを開きます。トランザクション詳細ページでは、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値といったトランザクションの詳細を表示できます。トランザクションは疑わしいため、過去7日間の同じクレジット・カードとデバイスを使用している他のトランザクションを検索します。ユーティリティ・パネルの「フィルタ」パネルでは、セッションおよびトランザクションに対し目的の検索を同時に実行するための簡単な方法が提供されています。彼は、詳細ページから「フィルタ」パネル領域にクレジット・カード番号とデバイスIDをドラッグ・アンド・ドロップし、「時間範囲」フィールドで「7日」を選択して、過去7日間に行われたトランザクションとセッションをフィルタします。ユーティリティ・パネルで「検索」ボタンをクリックしてトランザクションをフィルタし、クレジット・カードとデバイスIDに基づいて関連のあるセッションとトランザクションを特定します。
ユーティリティ・パネルの「一致するアイテムが見つかりました」セクションには、セッションもトランザクションも返されません。検索からデバイスIDを一時的に除外するために、「デバイスID」ラベルの前にあるチェック・ボックスの選択を解除し、「検索」をクリックして問合せを再度実行します。「一致するアイテムが見つかりました」セクションには、セッションもトランザクションも返されません。クレジット・カード番号のチェック・ボックスの選択を解除して検索からクレジット・カード番号を除外し、「フィルタ」パネルの「デバイスID」の前にあるチェック・ボックスを選択して、「検索」をクリックし、問合せを再度実行します。20件のトランザクションと4件のセッションが返されます。ユーティリティ・パネルを使用して、関連するセッションとトランザクションを簡単に見つけることができました。
Henryは、ユーティリティ・パネルの「一致するアイテムが見つかりました」セクションで「トランザクションの数」リンクをクリックし、デバイスIDによってフィルタされたトランザクションを表示します。フィルタ済トランザクション・ページに、トランザクションのリストが表示されます。Henryは、トランザクションの詳細をまとめて確認したいと思っています。フィルタ済トランザクション・ページで「トランザクションの表示」フィルタを適用し、表示されているトランザクションの中から最初の6件を比較のために選択して、検索結果ツールバーの「比較」ボタンをクリックし、「トランザクションの比較」タブを開きます。デフォルトでは、最大10件のトランザクションを比較できます。彼はトランザクションおよびエンティティ・データを比較対照します。「連結解除」ボタンをクリックして結果を連結解除し、使用可能な画面スペースを広げます。一致の詳細を強調表示するために、「一致の強調表示」チェック・ボックスを選択し、「前」または「次」矢印をクリックして、一致するデータ要素を上から下に順に強調表示します。強調表示によって、視覚的な比較が可能になり、一致しているデータ要素を見つけることができます。表示されたデータから、各トランザクションで異なるカードを使用して、それぞれ1つの高額アイテムを購入していることがわかります。
Henryは、「トランザクションの表示」フィルタを再度使用して、次の6件を比較のために選択します。彼は、オンライン購入動作において、不正を示す異常なパターンを検出しようとしています。同じパターンが存在します。Henryは、このデバイスを監視リストに追加する必要があると判断します。
トランザクションの比較画面から、Henryはセッション・データ・リストでデバイスIDを選択し、「グループに追加」機能を使用してそれを高リスク・グループに追加します。調査担当者は、「グループに追加」を使用して、該当する管理グループにエンティティ、トランザクション・データおよびセッション要素を追加し、問題のさらに詳細な調査、予測モデルの再作成およびルールの評価に役立てることができます。該当するグループが存在しない場合は、作成できます。
次にHenryは、すべてのトランザクションを選択して、新規ケースに追加します。選択したトランザクションが行われたセッションがケースにリンクされます。セッションおよびトランザクションをケースにリンクすることにより、調査担当者は、不正の可能性がある、潜在的な調査対象のアクティビティに関する仮説を立てることができます。調査担当者は、調査に関係がある可能性のあるセッションをいくつでもリンクできます。彼は調査結果に関するノートを入力し、「確認済不正」の処置とともにケースを閉じます。クローズ済ケースとは、問題が解決されているため、それ以上の調査を必要としないケースのことです。クローズ済ケースには、そのケースでどのように問題が解決されたかを記述する処置が含まれます。
自動生成ケースの調査フロー
調査担当者は、各調査の手始めに、特定のイベントの結果として動的に作成された新規エージェント・ケースを検索します。彼は「新規」ステータスを持つすべてのケースを検索します。不正調査担当者は、最初のケースを選択します。セッションはすでにケースにリンクされているため、彼はそのケースが生成されたセッションを詳細に調査します。リンクされたセッションで、ケースおよびその他のデータを確認します。調査担当者は、インシデントに関係するデータを表示し、OAAMによって取得された複雑なデータ関係を使用して、関連する状況を検索します。不正を特定したら、調査担当者は調査結果を記録し、エンティティをブラックリストに記載して、処置とともにケースを閉じます。
セキュリティ管理者は、特定のルールがトリガーされた場合にエージェント・ケースを作成するアクションを構成します。(詳細は、第16章「構成可能なアクションの管理」を参照してください。)これらの自動生成されたケースでは、トランザクションの確認が必要です。詳細ページには、調査担当者がこのタスクを完了するために必要な情報が含まれています。自動生成されたケースのワークフローの例を次に示します。
Johnは、銀行の不正調査担当者です。Johnは、ブロックされたアクセス・リクエストの結果として動的に作成された新規エージェント・ケースを検索します。
Johnは、リスト内の自動生成されたケースの1つを開き、その処理を開始します。ケースのステータスが自動的に「新規」から「保留中」に変わり、現在のケース所有者がJohnになります。他の調査担当者が、このケースが現在使用中であることを判別できるようになります(ケースの所有者がJohnになり、ステータスが「新規」ではなく「保留中」であるため)。ケース<case_number>が自動的に作成されたときに、ブロックされたセッションがそのケースにリンクされたため、すべてのセッション・データが取得され、確認できるようになっています。これには、そのセッションでトリガーされた一連のアラートがすべて含まれます。Johnは、5つの異なるアラートがトリガーされたセッションを確認します。Johnは、アラート・メッセージを読んで、この状況で何が発生したのかを容易に理解できます。匿名プロキシであることがわかっているIPからアクセスが試みられたために、高アラートが生成されたことがわかります。匿名プロキシは本当の地理的位置を隠すために犯罪者によって使用されることが多いため、匿名プロキシが使用されている間、銀行のセキュリティ・ポリシーによってバンキングが制限されます。
JohnはこのIPアドレスをクリックして、さらに調査するためにロケーションの詳細を確認します。最も重大度の高いアラートは、IPアドレス(匿名プロキシ)に関するものであることがわかります。これによって、隣のユーザー・インタフェース・タブにIPアドレス詳細ページが開きます。Johnは、「ユーザー」タブを選択し、この高リスクIPアドレスから利用しているユーザー・アカウントを確認します。このロケーションから行われているアクティビティに関与している可能性のある銀行ユーザーが4人いることがわかります。
JohnはIP詳細ページの「セッション」タブをクリックし、このIPアドレスからのセッションをリストします。
すべてのセッションを選択して、使用中のケース<case_number>にリンクします。この方法により、見つかったデータを、この操作を行った理由についてのノートとともに収集します。このケースでは、すべてのセッションがブロックされていますが、ブロックされていないセッションがある場合には、さらに追跡調査できるようそれらのセッションをケースにリンクすることが非常に有用です(詳細ページのデータを相互参照できない場合、そのような状況を検出できない可能性があるため)。
これで、これらのリンクされたセッションのすべてのデータがケース<number>に取得されました。Johnは、同じデバイス<device_number>が、これらのブロックされたアクセス試行すべてで使用されていたことを見つけます。
Johnはデバイス<device_number>をクリックし、デバイス詳細ページを開きます。「デバイス詳細」で調査担当者は、このデバイスのデータの関係およびセッションも表示できるほか、デバイス自体のフィンガープリント処理の詳細も表示できます。たとえば、使用されたブラウザのロケールです。
Johnは「アラート」タブを開き、アラートのタイプおよびこのデバイスに関連してアクティビティからそれぞれ生成されたアラートの頻度を表示します。たとえば、アノニマイザ・アラートの集計件数は4件であることを表示できます。
Johnはさらに、関連する4つのカスタマ・アカウント所有者に電話をかけて、彼らがこれらのブロックされた試行を行っていないことを確認します。このインシデントについて十分な調査を行ったと考え、不正を確認したので、Johnはこのケースを閉じ、次のインシデントに進むことができます。ケースを閉じる前に、Johnはリンク・セッションをExcelにエクスポートします。
Johnは、このデバイスは不正なアクセス試行でのみ使用されていると確信したため、このデバイスをブラックリストに記載する必要があると判断します。Johnは、詳細ページから直接デバイスを「制限付きデバイス」グループに追加します。これによって、このデバイスは、他のセッション・データが有効であるように見え、他にトリガーされたルールがなくても、オンライン・バンキングへのアクセスに使用できなくなります。不正の実行者は、セキュリティの回避方法を調べるためにアプリケーションのセキュリティを複数回テストすることがよくあるため、これは非常に重要です。デバイスのフィンガープリントは、不正な試行間で変わらない1つのデータ・ポイントである場合があります。
Johnは、調査結果を要約したノートとともに、確認済の不正としてケースを閉じます。彼のマネージャまたは監査者は、行われたアクション、ノートおよび関与したユーザーを含む、ケース・アクティビティのすべてのログを確認できます。
ケースは「確認済不正」としてマークされているため、不正なアクセス・リクエストで検出された特定のデータの組合せが、リスク評価エンジンに自動的に取り込まれ、不正がどのようなものであるかが学習されます。これによって、将来のリスク評価の正確性が高まります。同様に、確認したアラートが不正によるものではないとわかった場合、Johnはケースを「不正ではない」とマークして閉じます。この場合にも、偽陽性を減らすように将来のリスク評価が調整されます。
エスカレーション済エージェント・ケースの調査フロー
調査担当者は、調査の手始めに、「エスカレーション済」ステータスを持つケースをすべて検索します。彼は、「重大度」列の結果をフィルタして、最も重大度の高いケースが先頭に表示されるようにします。エスカレーション済ケースを開き、CSRおよびCSRマネージャが入力したノートのログを表示します。ケース内のユーザーに基づいてセッションを検索します。調査担当者は、インシデントに関係するデータを表示し、OAAMによって取得された複雑なデータ関係を使用して、関連する状況を検索します。不正を特定したら、調査担当者は調査結果を記録し、エンティティをブラックリストに記載して、処置とともにケースを閉じます。
Mattは、カスタマ固有のセキュリティに関する問題を専門とする調査担当者です。彼は、「エスカレーション済」ケース・ステータスを持つすべてのケースを検索します。
調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。調査担当者が初めてケースにアクセスすると、ステータスが自動的に「保留中」に変わります。これによって調査担当者は、他の調査担当者がすでにそのケースを使用しているかどうかを判断できます。Mattは、エスカレーション済ケースを開きます。ステータスが自動的に「エスカレーション済」から「保留中」に変わり、現在の所有者がMattになります。エスカレーション済ケースを開き、CSRおよびCSRマネージャが入力したノートをログで確認することがベスト・プラクティスです。彼らが不正アクティビティを疑ったために、CSRケースがエージェント・ケースにエスカレーションされたことがわかります。このケースはカスタマ・サービス・ケースに基づくため、特定のユーザーの情報が詳細に含まれます。Mattはケースの詳細およびjsmithがユーザーであるというノートを確認します。セッションの検索にユーザーIDが必要となるため、そのIDを書き留めます。
Mattは「リンク・セッション」タブにナビゲートして、jsmithというユーザーIDでセッションを検索するために「リンク・セッション」を開きます。jsmithはセッションを持っているため、Mattは日付およびタイムスタンプでフィルタして、最新のセッションを探します。Mattは、エスカレーションの原因となった最新のセッションを見つけようとしています。
アラート・メッセージを確認して、何が発生したのかを理解します。匿名プロキシであることがわかっているIPからアクセスが試みられたために、高アラートが生成されていました。MattはこのIPアドレスをクリックして、調査するためにロケーション・ログインの詳細を確認します。過去の他のロケーションを確認して、不正が行われた可能性があるかどうかを判別します。他にも質問があるため、彼は実際のユーザーjsmithに電話をかけて話をし、メモを取ります。納得のいく結論が出たら、Mattは処置とともにケースを閉じます。
OAAMの調査インタフェースでは、調査担当者は次の5つの主要ページおよびパネルを使用してエージェント・ケースを作成および管理できます。
エージェント・ケースの検索
セッション検索
トランザクション検索
ユーティリティ・パネル
ケース・ノート
この項では、調査担当者が調査ワークフローをナビゲートするために使用する主要なコンポーネントについて説明し、特に調査を行いエージェント・ケースを処理するために必要なツールについて詳しく説明します。
調査インタフェースで、不正調査担当者は次の操作を実行できます。
セッションおよびトランザクションのランタイム・データの表示
トランザクションの比較
主要なオブジェクト、ユーザーおよびエンティティのドリルダウンの実行
エージェント・ケースの管理
検索または比較に使用するデータ・ポイントの簡単な追加または削除
タブを閉じることはできず、コンソールで一度に処理できるエージェント・ケースは1つのみです。不正調査担当者は特定の検索を行って、収集された一連のデータや情報から何かを発見したり、隠された真実を見つけて、疑わしいトランザクションを検出できます。グループに追加されたデータ要素に対し、リスク分析を実行できます。
エージェント・ケースの検索では、調査担当者は、基準を満たすケースとして関心を持ったケースを検索できます。「検索結果」表には、その調査担当者がアクセスできるケースのリストが、詳細表示へのリンクとともに表示されます。このページでは、次のタスクを実行できます。
検索基準に基づくケースへの簡単なアクセス
新規ケースの作成
ケースのリストの表示
|
注意: 環境がアップグレードされている場合、前のリリースのエージェント・ケースも引き続き表示されます。 |
たとえば、調査担当者は特定のイベントの結果として作成された新しいエージェント・ケースを動的に検索できます。
セッションおよびトランザクション検索ページでは、調査担当者はトランザクション中心の方法でOAAMランタイム・データを検索できます。日付範囲、アラート・タイプ、レベルなどデフォルトのフィルタを使用して検索できます。また、必要なフィルタを追加して構成することも可能です。構成したフィルタは後で再使用するために保存できます。
たとえば、調査担当者は調査の手始めに、過去24時間以内の、特定のアラート・レベルの小売りE-Commerceのトランザクションを検索します。
トランザクション検索では、次の機能が提供されます。
グループに追加
比較
ケースへのリンク
Excelにエクスポート
セッション検索ページでは、調査担当者は様々なフィルタ基準に基づいて疑わしい可能性のあるセッションを検索できます。続いて、調査担当者は、セッションに含まれる次のような認証およびエンティティ情報に基づいて、調査が必要なセッションを判別できます。
ユーザー情報
ログインするためにユーザーが使用したデバイス
ユーザーのログイン元のロケーション
デバイスのフィンガープリントの詳細
トリガーおよび生成されたアラート
トランザクション
表5-2に、検索およびフィルタの基準が表示されたセッション検索ページを示します。
「トランザクション」検索ページでは、調査担当者は、調査において不正を特定するために確認できる重要な詳細について、トランザクションを検索およびフィルタできます。各トランザクションのデータおよびコンテキストは、暗号化されたデータ・フィールドにも使用できます。トランザクション検索を使用することにより、調査担当者は、トランザクション定義に基づいて作成された関連するトランザクション・データおよびランタイム・データを見つけ、エンティティ間の関係を表示できます。また、ユーザー・アクティビティを深く把握することにより、不正が行われた可能性を分析できます。
|
注意: 「トランザクションの検索」は、調査担当者または調査マネージャ・ロールのみが使用できます。 |
図5-3に、トランザクションの検索ページを示します。
調査ユーティリティ・パネルには、セキュリティ・アナリストやコンプライアンス担当者が調査プロセスにおいて何度も実行するような共通の操作のための永続的なインタフェースが用意されています。これは検索専用であり、OAAMワークフローのすべてのページから簡単にアクセスできます。これは、共通データに基づき、互いに関連するセッションおよびトランザクションを迅速に見つけるために使用されます。
ユーティリティ・パネルは次のもので構成されます。
「フィルタ・アイテム」パネル
「フィルタ」パネルは、関連するセッションおよびトランザクションを迅速に検索するために使用されます。
「ケース・ノート」パネル
調査担当者は、ユーティリティ・パネルを使用して、ケース・ノートに調査結果をいつでも取り込めます。
開いているケースがない場合、調査担当者は簡単に既存のケースを検索して開くか、パネルを使用して新規ケースを作成できます。
調査担当者は、ユーティリティ・パネルを使用して次のことを行えます。
共通のデータを持つセッションおよびトランザクションを迅速に特定します。
問合せを繰り返して、結果を拡大および縮小します。
検出されたセッションおよびトランザクションの合計数を表示し、調査を拡大するために詳細を確認します。
「フィルタ」パネルでは、セッションおよびトランザクションに対する目的の検索を同時に実行するための簡単な方法を提供します。調査担当者は、ケースの「リンク・セッション」タブ、セッション検索、トランザクション検索およびトランザクションの比較などの様々なページから、個別のデータ・ポイントをドラッグ・アンド・ドロップします。または、コンテキスト・メニューを右クリックして、データ・ポイントを追加することもできます。フィルタとして使用できるデータ・ポイントには、ユーザー名、デバイスID、IP、市区町村、都道府県、国、トランザクション・データおよび実質上その他すべてのランタイム・データがあります。
フィルタは簡単に追加、無効化または削除できます。問合せ結果は、指定の時間範囲内にある、アクティブ・フィルタに一致するセッションおよびトランザクションの合計数です。合計数をクリックすると、セッションまたはトランザクションのリストが表示されます。
「ケース・ノート」領域には、現在のケースのすべてのノートが、時間の降順で示されます。ノートをケースに追加すると、調査担当者は、検索結果、非表示の関係または通常と異なる動作を記録および共有できます。調査担当者は、調査を続行しながら、いつでもノートを追加して「ノートの追加」をクリックすることにより、「ケース・ノート」パネルに直接ノートを追加できます。検索結果を記録する過程で、調査担当者はフィルタ基準を保存して、他の調査担当者がそのケースの関連データ・ポイントを確認できるようにすることができます。調査担当者が追加できるノートの数に制限はありません。調査担当者がさらにノートを追加する必要がある場合、パネルにはスクロール機能が備わっています。検出プロセスを時間に沿って追跡することにより、調査担当者は他の不正調査担当者と結果を共有したり、どのように結論に達したかを他の人に示すことができます。
|
注意: OAAMでは、2人のユーザーが1つのケースに同時にアクセスできます。2人のユーザーがいずれもケースにノートを追加すると、OAAMでは両方のユーザーのノートが保存されますが、2番目のユーザーのノートは1番目のユーザーによって追加されたものとして示されます。 |
エンティティのパラメータおよびトランザクションの詳細を比較して、関係を識別できます。同じトランザクション定義タイプの複数のトランザクション検索結果を選択して、検索結果ツールバーで「比較」ボタンをクリックすると、「トランザクションの比較」タブが開きます。デフォルトでは、最大10件のトランザクションを比較できます。
トランザクションおよびエンティティのデータを比較対照できます。
一致する詳細を強調表示して焦点を当てることができます。
疑わしいトランザクションに関係する追加のデータ要素を1つずつドラッグ・アンド・ドロップし、評価が必要な他のアクティビティがあるかどうかを確認できます。
調査担当者は、セッションおよびトランザクション検索ページを使用して、トランザクション中心の方法でOAAMランタイム・データを検索できます。日付範囲、アラート・タイプおよびレベルといった一般的な問合せフィルタがデフォルトで表示され、その他に必要なフィルタを追加および構成できます。構成したフィルタは再使用のために保存できます。
調査担当者は、「グループに追加」を使用して、該当する管理グループにエンティティ、トランザクション・データおよびセッション要素を追加し、問題の追加調査、予測モデルの再作成およびルールの評価に役立てることができます。たとえば、調査担当者があるデータ要素(クレジット・カード)が疑わしいことを見つけ、そのクレジット・カードをブラックリストに記載するとします。調査担当者は、購入で使用されたクレジット・カードを高リスクのクレジット・カード・グループに追加できます。該当するグループが存在しない場合は、作成できます。
「グループに追加」機能は、次のものに示されているすべてのデータ型で使用できます。
リンク・セッション
セッション検索
セッション詳細
トランザクションの検索
選択したトランザクションのセッションに関連付けられているデータ型をグループに追加できます。
トランザクション詳細
選択したトランザクションのセッションに関連付けられているデータ型をグループに追加できます。
トランザクションの比較
選択したトランザクションのセッションに関連付けられているデータ型をグループに追加できます。トランザクション比較ページの「グループに追加」は、表示されているトランザクションにのみ適用されます。(たとえば、調査担当者が検索ページから比較用に4件のトランザクションを選択したが、2件のトランザクションのみが表示されるようにビューをフィルタした場合、「グループに追加」ではこの2件の表示されているトランザクションの要素のみを追加します。)
Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。詳しい調査の結果、使用されたクレジット・カードが盗難されたクレジット・カードであることがわかりました。このクレジット・カードは、ショッピング・カート、小売りE-Commerceなどの様々なトランザクションで使用された可能性があります。調査担当者は、過去1週間以内にこのクレジット・カードが使用された異なるトランザクションをすべてリストして、損害を見積もります。カード番号は、エンティティ・フィールドの1つです。調査担当者はすべてまたは複数のトランザクション・タイプを選択して、エンティティ・フィールドで検索します。
| フィルタ | 選択項目 |
|---|---|
|
トランザクション・タイプ |
すべてのトランザクションを選択 |
|
エンティティ |
クレジット・カード |
|
クレジット・カード番号 |
xxxx xxxx xxxx 1234 |
トランザクション・データを検索するにあたり、Jeffはこのクレジット・カードが使用されたすべてのトランザクションを取得します。これで、トランザクションを選択して、「グループに追加」ボタンをクリックできるようになりました。グループに追加する宛先アカウント番号などのトランザクション・データを選択するためのダイアログが表示されます。ダイアログでこのフィールドに関連付けられているラジオ・ボタンを選択し、「次」をクリックします。
次のページでは、このデータをグループに追加できます。このタイプのデータを格納するグループの新規グループを作成するか、既存のグループを使用できます。
調査担当者は、セッションと関連するアクティビティの間に関係があると考えた場合、これらのセッションを検索して既存のケースまたは新規ケースにリンクできます。リンク・ノートおよび説明を追加します。
ケースにセッションをリンクすることにより、調査担当者は、不正の可能性がある、潜在的な調査対象のアクティビティに関する仮説を立てることができます。調査担当者は、調査に関係がある可能性のあるセッションをいくつでもリンクできます。たとえば、調査担当者は類似した不正が含まれることが判明した3つのセッションを識別できます。セッションはセッション検索から選択し、既存のケースにリンクできます。選択したトランザクションが発生したセッションがケースにリンクされます。コンソールでエージェント・ケースがオープンされている場合、ケースIDがリンク先のケースとして自動選択されます。調査担当者が値の変更を必要としているか、ケースがオープンしていない場合、調査担当者は既存のケースを検索し、リンク先となる新規ケースを作成できます。
また、セッションがケースとは無関係になった場合には、このケースにすでにリンクされている1つ以上のセッションのリンクを解除することもできます。
調査担当者は、次のページからケースにセッションおよびトランザクションをリンクできます。
セッション検索
セッション詳細
トランザクションの検索
トランザクション詳細
トランザクション比較
セッション・ページおよびトランザクション・ページから、トランザクションを含むセッションをケースにリンクし、セッションのリンクに関するノートを追加するには、次の手順を実行します。
疑わしいトランザクションまたはセッションを選択し、検索結果ツールバーで「ケースへのリンク」ボタンをクリックします。
ケースにリンクするために選択されたセッションを示すダイアログが表示されます。セッションのリンクに関するノートを入力するための手順が示されます。
「事前に作成したノート」ドロップダウン・リストから、状況を最も的確に表す説明を選択してノートを入力し、「ノート」ボックスに追加のコメントを入力します。
「セッションのリンク」をクリックしてセッションをケースにリンクします。
選択したセッションがケースに正常にリンクされたことを確認するダイアログが表示されます。
「ケースへのリンク」確認ダイアログで「OK」をクリックして確認します。
ケース詳細ページが開きます。
トランザクションのセッションをエージェント・ケースにリンクします。
トランザクションを選択し、検索結果ツールバーで「ケースへのリンク」ボタンをクリックします。
セッションをリンクするためのケースを開く手順を示したダイアログが表示されます。既存のケースを検索して選択するか、新規ケースを作成して、セッションをリンクします。
調査担当者がまだケースを開いていない場合は、ケースを検索するか、新規ケースを作成できます。検索して選択するオプションでは、ケース検索ページが開きます。新規ケースを作成する場合は、タスクの作成フローがポップアップで開きます。
「既存のケースを開く」ボタンをクリックして、既存のケースを開きます。
「ケースへのリンク」ダイアログで基準を入力し、「検索」をクリックします。
「次」をクリックします。
別の「ケースへのリンク」ダイアログが表示され、ケースにリンクするために選択されたセッションが示されます。この動作に関するノートを入力するための手順が示されます。
状況を最も的確に記述するリスト項目を選択します。追加のコメントがある場合は入力します。
「セッションのリンク」をクリックします。
「ケースへのリンク」確認ダイアログで「OK」をクリックして確認します。
使用例: GaryはDollar Bankの不正調査担当者です。Garyは、処理する新規ケースを検索します。彼はステータスが「新規」であるすべてのケースを検索し、期限超過までの時間が最も短いケースが先頭にくるように表示をフィルタします。Garyは最初のケースを選択し、アラートおよびリンク・セッションに含まれるその他のデータを確認します。次に、北朝鮮からの他のセッションを見つけるために検索します。過去6か月間を検索すると、さらに1件のセッションが返されます。Garyはこの2番目のセッションをケースにリンクして、両方のセッションのデータに基づく関係を調査に使用できるようにします。Garyは、この2件のリンク・セッションが同じデバイスから行われていることに気付きます。Garyは、過去1年間にこのデバイスから行われたその他のセッションを調べて調査を続けます。このデバイスから行われた別のセッションがあり、中国から行われていると記されていることを見つけます。このセッションもリンクします。3件のセッションはそれぞれ異なるIPアドレスを使用していました。次にGaryは各IPからのセッションを個別に確認します。そのうち2つのIPは、これらのセッションでのみ使用されていました。中国からの3番目のIPでは、過去3か月間に178件のセッションがありました。この状況により影響を受けている可能性があるユーザーを確認するため、彼は「IP詳細」画面を開いて「ユーザー」タブを表示します。すべてのユーザーのリストがそれぞれの詳細とともに示されます。Garyはアイデンティティ管理製品を確認し、中国の連絡先情報を持つユーザーがいないかどうか、各ユーザーを調べます。誰もおらず、全員が米国本土に住むアメリカ人でした。GaryはユーザーのリストをXLSにエクスポートし、アカウントが使用されているカスタマに連絡を取っていくつか質問をします。誰も北朝鮮または中国にいたことはないことがわかったため、この会話をケース・ノートに入力します。彼らに、パスワードを変更し、チャレンジ質問をリセットするよう伝えます。また、彼らを被害者監視リスト・グループに追加し、このデバイスを高リスク監視リストに追加します。Garyは、確認済の不正の処置とともにケースを閉じます。
アラート中心の調査ワークフローで調査を実行する場合、手始めに重大度の高いアラートを含むトランザクションを検索します。セッションで生成されたすべてのアラートを表示し、アラートのメッセージを読んで、この状況で何が発生したのかを理解します。アラートが生成された理由を表示し、データ・ポイントを詳しく調べることから調査を開始します。
|
注意: 検索フィルタの演算子は、演算子ドロップダウン・リストに示されます。検索フィルタの演算子を使用して、調査担当者は検索結果を絞り込めます。 たとえば、「トランザクション・タイプ」を「transaction_type_value」に対し、「次と等しい」または「次と等しくない」とします。 |
重大度の高いアラートを含むトランザクションを検索するには、次の手順を実行します。
エージェント・ケース・ページで、「トランザクションの検索」タブをクリックして、トランザクション検索ページを開きます。
「トランザクション・タイプ」フィールドからトランザクション・タイプを選択し、演算子ドロップダウン・リストから検索フィルタの演算子を選択します。
トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択します。「トランザクション名」フィールドでトランザクション・タイプを選択します。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。
「トランザクション日」フィールドに開始日と終了日を入力し、トランザクションを検索します。日付は必須です。デフォルトでは、日付は過去24時間に設定されています。
特殊文字が入力された場合は、エラー・メッセージが表示されます。また、「終了日」を「開始日」より前にすることはできません。
表5-3で、日付および時間フィールドの演算子について説明します。
「アラート・レベル」に「高」を選択して、「検索」をクリックします。
トランザクション検索ページの結果表に、重大度が高いアラートを含むトランザクションがリストされます。
「トランザクション日」列ヘッダーをクリックして、結果を昇順でフィルタします。リストの先頭にあるトランザクションが最も古いものです。
結果表で、「アラート」列の高アラートの隣にあるオレンジ色の四角をクリックし、高アラートの合計数およびアラート・メッセージをポップアップに表示します。
アラート・メッセージのリンクをクリックして、アラート詳細ページを開きます。
詳細ページを使用して、アラートの生成に関する情報、メッセージ、アラート・レベル、メッセージ・タイプおよびその他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システムおよびロケールなど)とアラートとの関係を表示します。
表5-4に、詳細ページと各ページで提供される情報のタイプをリストします。
表5-4 「アラート詳細」タブ
| 「アラート詳細」タブ | 説明 |
|---|---|
|
サマリー |
アラートに関する一般情報および現在の詳細(レベル/タイプ)を含むアラート・テンプレートを表示します。 アラートが関連付けられているアラート・グループを表示します。 |
|
ユーザー |
このアラートがトリガーされたセッションを持つユーザーを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのユーザーにアラートが生成されたか、およびユーザーごとのアラートの生成回数を確認できます。 |
|
デバイス |
このアラートがトリガーされたセッションに含まれていたデバイスを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのデバイスにアラートが生成されたか、およびデバイスごとのアラートの生成回数を確認できます。 |
|
ロケーション |
このアラートがトリガーされたセッションに含まれていたロケーションを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのロケーションにアラートが生成されたか、およびロケーションごとのアラートの生成回数を確認できます。 |
|
セッション |
このアラートがトリガーされたセッションを表示します。 |
|
フィンガープリント・データ |
アラートが生成されたログイン・プロセスで作成されたフィンガープリントを表示します。 |
調査担当者が、合計金額、トランザクションが関連付けられているエンティティ、トランザクションID番号、セッションID番号またはその他の検索基準といった、確認が必要な疑わしいトランザクションに関する追加詳細を持っている場合には、トランザクション検索ページを使用して検索結果を絞り込めます。
トランザクションを検索するには、次の手順を実行します。
エージェント・ケース・ページで、「トランザクションの検索」タブをクリックします。
表5-5に、トランザクションを検索およびフィルタするためのトランザクション・フィルタをリストします。
表5-5 トランザクションの検索フィルタ
| フィルタ | 説明 |
|---|---|
|
トランザクション・タイプ |
トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。「トランザクション名」フィールドは、検索をそのトランザクションに制限するための必須フィールドです。トランザクションのタイプが選択されると、検索に追加するために選択できる、対応する「トランザクション・データ」および「エンティティ・データ」フィールドがOAAM管理に移入されます。トランザクション名属性は複数選択できます。 |
|
トランザクション日 |
トランザクション日は、トランザクションが送信された時点です。 |
|
トランザクション・ステータス |
トランザクション・ステータスは、トランザクションの現在の状態です。値は「成功」、「失敗」または「保留中」です。 |
|
トランザクションID |
トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。 |
|
セッションID |
セッションIDは、カスタマがトランザクションを実行する前にログインする認証セッションの識別子です。 |
|
組織ID |
組織IDは、ユーザーが所属する組織の一意の識別子です。各ユーザーは、1つの組織IDのみに属します。これによって、ユーザーがどのテナント・アプリケーションを使用しているか、およびOAAMポリシーがそのアプリケーションに対して実行される範囲が識別されます。 |
|
ユーザー名 |
ユーザー名は、ログイン認証のために入力された名前です。 |
|
アラート・レベル |
アラートの重大度。「高」、「中」、「低」のいずれかです。 |
|
国 |
国ID。 |
|
都道府県 |
都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。 |
|
市区町村 |
市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。 |
|
IP範囲 |
IPアドレスの範囲。 |
|
デバイスID |
デバイスのID。 |
|
エンティティ・データ |
エンティティ・データはエンティティに関連付けられている属性であり、検索用に選択された特定のトランザクション・タイプにマップされます。たとえば、「トランザクション名」に「インターネット・バンキング」が選択された場合は、BankNameという検索フィールドを追加します。調査担当者は、これらの属性の対応する値を使用して検索を実行できます。 |
|
トランザクション・データ |
トランザクション・データには、トランザクション・タイプに関連付けられている特定の属性が含まれます。たとえば、送金ではToAccountNumberまたはFromAccountNumberです。 |
|
注意: 暗号化されたフィールドによる検索はサポートされません。暗号化されたエンティティ・フィールドおよびトランザクション・フィールドは、トランザクションの検索フィルタとして使用できず、ドロップダウンに表示されません。 |
「トランザクション・タイプ」フィールドからトランザクション・タイプを選択し、演算子ドロップダウン・リストから検索フィルタの演算子を選択します。
トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択します。「トランザクション名」フィールドでトランザクション・タイプを選択します。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。
「トランザクション日」フィールドに開始日と終了日を入力し、トランザクションを検索します。日付は必須です。デフォルトでは、日付は過去24時間に設定されています。
特殊文字が入力された場合は、エラー・メッセージが表示されます。また、「終了日」を「開始日」より前にすることはできません。
表5-3で、日付および時間フィールドの演算子について説明します。
検索フィールドに基準を入力し、検索演算子を使用して検索結果を絞り込んで、「検索」をクリックします。
特殊文字が入力された場合は、エラー・メッセージが表示されます。
フィルタを追加するには、「フィールドの追加」下矢印ボタンをクリックします。
パラメータのリストから、追加のフィルタを選択します。たとえば、「アドレス.郵便番号」です。
検索フィールドに基準を入力します。
検索フィールドに基準を入力し、検索演算子を使用してテキスト・フィールド内の問合せを絞り込み、「検索」をクリックします。
検索基準に一致するトランザクションが「検索結果」表に表示されます。デフォルトでは、検索結果はセッションIDでソートされます。トランザクション名、トランザクション・ステータスおよび日付でソートします。
トランザクション名のリンクをクリックすると、トランザクションの詳細が表示されます。トランザクション詳細ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。
行を選択し、「エクスポート」をクリックして、検索結果をスプレッドシートにエクスポートします。上限は25行です。
「グループに追加」オプションを使用して、さらにルール評価で使用できる、トランザクション、エンティティ・データおよび認証エンティティをグループに追加します。たとえば、ブラックリストに記載したアカウントや疑わしい業者などです。
トランザクションを見つけたら、トランザクションおよびエンティティ・データを詳細に確認して、関連するエンティティを見つけます。確認により、あるデータ要素が関連しているかどうかを判断します。トランザクション詳細ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。
トランザクションの検索ページの「検索結果」表で、トランザクションのリンクをクリックします。
「サマリー」セクションで、トランザクションの一般情報を表示します。
表5-6に、「サマリー」パネルに表示されるサマリー情報の詳細を示します。
表5-6 トランザクションのサマリー情報
| 詳細 | 説明 |
|---|---|
|
トランザクション・タイプ |
トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。「トランザクション名」フィールドは、検索をそのトランザクションに制限するための必須フィールドです。トランザクションのタイプが選択されると、検索に追加するために選択できる、対応する「トランザクション・データ」および「エンティティ・データ」フィールドがOAAM管理に移入されます。トランザクション名属性は複数選択できます。 |
|
トランザクションID |
トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。 |
|
トランザクション日 |
トランザクションが行われた日時。 |
|
セッションID |
ログインまたはトランザクションが行われたセッションの一意の識別子。リンクにより、調査担当者はセッション詳細ページに移動します。 |
|
説明 |
トランザクションに関するノート。 |
|
デバイスID |
各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。 |
|
ユーザー名 |
ユーザーがログインするために入力するログイン名。 |
|
IPアドレス |
通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。 |
|
市区町村 |
市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。 |
|
都道府県 |
都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。 |
|
国 |
国ID。 |
「トランザクション・データ」パネルでトランザクション・データ、エンティティ・インスタンスおよび関連インスタンスを表示します。
表5-7に、「トランザクション・データ」パネルに表示されるトランザクション・データの詳細を示します。
表5-7 「トランザクション詳細」のトランザクション・データ
| トランザクション・データ | 説明 |
|---|---|
|
トランザクション・タイプ |
トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。「トランザクション名」フィールドは、検索をそのトランザクションに制限するための必須フィールドです。トランザクションのタイプを選択すると、検索に追加するために選択できる、対応する「トランザクション・データ」および「エンティティ・データ」フィールドがOAAM管理に移入されます。トランザクション名属性は複数選択できます。 |
|
エンティティ |
トランザクションに含まれるエンティティ。 |
|
値 |
トランザクションの過程でユーザーが入力したデータ。 |
セッション・データを表示して、セッションで具体的に何が発生したのかを詳しく調べます。
パネルに表示されるセッション・データには、次があります。
アラートおよびアクション
最終アクション
「アラート」表には、アラート・レベル、アラート・メッセージ、トリガー日などの追加情報が表示されます。
ルールおよびポリシー名はトリガー・ソース下でリンクされ、これによって対応する詳細ページを開くことができます。
「セッション・データ」パネルでアラート・アクティビティを表示します。「アラート」リストには、セッション中に起動されたアラートが表示されます。「アラート履歴」リストには、起動されたアラートのアラート・レベル、アラートに関連付けられたすべてのメッセージ、アラート・タイプおよびアラート・ルールがトリガーされた日時が表示されます。
不正調査担当者はユーティリティ・パネルを使用して、一連のデータや情報から何かを発見したり、隠された真実を見つけることができます。トランザクションが疑わしい場合、調査担当者は「トランザクション詳細」に示されている同じデバイスID、ユーザー名、IPアドレス、市区町村、都道府県または国を含むトランザクションが他にないか検索します。トランザクションをフィルタして、データ・ポイントに基づいて関連するセッションおよびトランザクションを識別できるようにします。任意の有効なデータ・ポイントを使用して、いつでも検索を実行できます。
トランザクションをフィルタするには、次の手順を実行します。
セッション、セッション詳細、リンク・セッション、トランザクションの検索、トランザクション詳細およびトランザクションの比較ページで、他のトランザクションに対するフィルタとして使用する個別のデータ・ポイントをドラッグし、そのデータ・ポイントをユーティリティ・パネルの「フィルタ・アイテム」パネルにドロップします。または、コンテキスト・メニューを使用して照合するデータ要素を選択します。
選択したデータ・ポイントは「フィルタ・アイテム」パネルに表示されます。
「フィルタ・アイテム」パネルへのデータ・ポイントのドラッグ・アンド・ドロップを続けて検索を絞り込みます。
検索からデータ・ポイントを削除するには、データ・ポイントの右側にある赤いXのアイコンをクリックします。
検索から一時的にデータ・ポイントを除外するには、データ・ポイント・ラベルの前にあるチェック・ボックスの選択を解除します。
「時間範囲」では、次のものを選択できます。
任意: 時間範囲を制限しません。
24時間: 過去24時間以内に行われたトランザクションおよびセッションをフィルタします。
48時間: 過去48時間以内に行われたトランザクションおよびセッションをフィルタします。
7日: 過去7日以内に行われたトランザクションおよびセッションをフィルタします。
検索に使用されるデフォルトの時間範囲は過去24時間です。
「検索」をクリックして、一致を検索します。
OAAMでは、「フィルタ・アイテム」パネル内の現在のデータ・ポイントに基づいて、一致するセッションおよびトランザクションを検索します。セッションおよびトランザクションの結果件数が、「フィルタ・アイテム」パネルの下部に表示されます。
この集計は、検索基準に一致するセッションの数およびトランザクションの数を示します。たとえば、同じクレジット・カードおよびデバイスを使用するセッションおよびトランザクションです。
|
注意: ユーティリティ・パネルにリストされているデータ・ポイントは、セッション間では保持されません。これは、ケースが閉じたときにクリアされます。 |
ユーティリティ・パネルにデータ・ポイントをドラッグして他のデータ・ポイントを含め、検索を絞り込みます。
「検索」をクリックします。
集計に、そのデータ要素を使用するセッションの数およびトランザクションの数が示されるようになります。たとえば、同じクレジット・カードおよびデバイスを使用するセッションおよびトランザクションです。
件数をクリックして、対応するフィルタ・ページを開きます。フィルタ・ページでは、一致するトランザクションまたはセッションが「検索結果」表に示されます。
調査担当者が特定のトランザクションを確認するには、フィルタ済トランザクション・ページにナビゲートします。
フィルタ済トランザクション・ページを開くには、次の手順を実行します。
ユーティリティ・パネルの「トランザクションの数」リンクをクリックし、先に指定したデータ・ポイントによってフィルタされたトランザクションを表示します。
表示されるページはトランザクション検索ページではなく、フィルタ済トランザクション・ページのみであるため、複数のページを開くことができます。
フィルタ・ページから、アラートを表示します。
表5-9 トランザクション詳細
| トランザクション情報 | 説明 |
|---|---|
|
トランザクション・タイプ |
実行されたトランザクションのタイプ。トランザクション詳細ページにリンクします。 |
|
トランザクションID |
トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。トランザクション詳細ページにリンクします。 |
|
トランザクション・ステータス |
トランザクションのステータス。 |
|
アラート |
トリガーされたアラート。 |
|
トランザクション日 |
トランザクションが行われた日時。 |
|
セッションID |
ログインまたはトランザクションが行われたセッションの一意の識別子。リンクにより、調査担当者はセッション詳細ページに移動します。 |
比較するトランザクションを選択します。
トランザクションのパラメータおよびカスタマ詳細を比較して、関係を識別できるようにします。同じトランザクション定義タイプの複数のトランザクション検索結果を選択して、検索結果ツールバーで「比較」ボタンをクリックすると、「トランザクションの比較」タブが開きます。デフォルトでは、最大10件のトランザクションを比較できます。
選択したトランザクション間の共通のデータ要素のみをフィルタし、表示できます。デフォルトでは、共通でないデータ要素を含む、選択したトランザクションのすべてのデータ要素が比較ページに表示されます。
同じタイプの2つ以上のトランザクションを選択してその値を比較するには、次の手順を実行します。
ユーティリティ・パネルの「関連アイテムが見つかりました」セクションで、一致するトランザクションの数をクリックし、フィルタ済データ要素を確認します。
フィルタ済トランザクション・ページの「検索結果」表で、同じトランザクション・タイプの2つ以上のトランザクション検索行を選択し、「比較」をクリックします。
検索結果から少なくとも2つのトランザクションを選択するまで、「比較」オプションは無効です。
比較は、同じタイプのトランザクションに対してのみ行えます。デフォルトでは、最大10件のトランザクションを比較できます。調査担当者はフィルタを適用して、デフォルトで使用可能な10件のトランザクションの中からいくつかのトランザクションを選択して表示できます。
「トランザクションの比較」タブで、トランザクションおよびエンティティのデータを比較対照します。
使用可能なトランザクションの中から、フィルタを適用することで、いくつかのトランザクションを選択して表示します。
一致の詳細を強調表示するには、「一致の強調表示」を選択し、「前」または「次」矢印をクリックして詳細を移動します。
疑わしいトランザクションに関係する追加のデータ要素を「フィルタ・アイテム」パネルに1つずつドラッグ・アンド・ドロップし、評価が必要な他のアクティビティがあるかどうかを確認します。
トランザクション検索ページからトランザクションを比較することもできます。
「トランザクション」タブをクリックします。
「トランザクション・タイプ」フィールドで、トランザクション・タイプおよび演算子の「次と等しい」を選択します。
「トランザクションID」フィールドで、カスタマがトランザクションを送信したときに作成された一意の識別子の数を入力します。
別のフィールドを追加します。
「トランザクションID」フィールドで、その他のトランザクションIDを入力します。
「検索」をクリックします。
トランザクションの検索結果からトランザクションを選択し、「比較」をクリックします。
トランザクション・タイプが小売りE-Commerceのトランザクション・データ値を比較した結果表を含むトランザクションの比較ページが表示されます。
一致するデータを強調表示するには、「一致の強調表示」ボックスを選択します。続けて下または上矢印キーをクリックし、一度に1つずつ一致を強調表示します。
トランザクションを比較します。
Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。
ユーザーJohnは疑わしく、銀行の異なるアカウント番号に複数回の電信送金を行っています。調査担当者は、すべてのアカウント番号および各送金の金額を結果にリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。
| フィルタ | エンティティ・フィールド |
|---|---|
|
トランザクション名 |
電信送金 |
|
エンティティ |
カスタマ |
|
エンティティの名 |
John |
|
結果 |
|
|
トランザクション・データ |
金額 |
|
エンティティ |
アカウント |
|
トランザクション・フィールド |
宛先アカウント番号 |
Jeffは、タイプが同じ電信送金である2つのトランザクション検索行を選択し、「比較」ボタンをクリックします。トランザクションおよびエンティティ・データを比較する「トランザクションの比較」タブがJeffに表示されます。
トランザクションの比較パネルからグループにデータ要素を追加するには、次の手順を実行します。
特定のデータ・グループにエンティティ、トランザクション・データおよびセッション要素を追加する行を選択し、「グループに追加」をクリックします。たとえば、調査担当者がtransaction1、transaction2およびtransaction3を選択し、そのアカウント番号が123、234および345であったとします。3つのアカウント番号がすべて、疑わしいアカウント・グループに追加されます。
次の指示を示す「グループに追加」ダイアログが表示されます。「下のリストは、選択した行のすべてのデータ型のリストです。グループに追加するデータのタイプを選択してください。1度に1つのデータ型のみ選択できます。」
データ型を選択して「次」をクリックすると別のダイアログが開き、ここでデータ要素を追加するグループを選択するか、まずグループを作成してからデータ要素を追加できます。
既存のグループを選択して選択したグループにエンティティを追加するには、次の手順を実行します。
「既存のグループから選択」を選択します。
選択したデータ型に基づいて、エンティティが属することができる、対応する使用可能なグループが表示されます。
たとえば、アカウント番号が選択されている場合、数値グループ・タイプが示されます。
たとえば、アカウント所有者名が選択されている場合、文字列グループ・タイプが示されます。
「グループ名」フィールドにグループ名を入力し、「検索」をクリックします。検索を実行せずに、リストからグループを選択することもできます。
「検索」をクリックすると、検索結果に既存のグループおよび説明がリストされます。
エンティティを追加するグループをリストから選択します。
プレビューに、グループ名およびグループに関連付けられているメンバーが表示されます。関連付けられているメンバーがいない場合は、「グループにメンバーが関連付けられていません。」というメッセージが表示されます。
既存のメンバーは、使用可能なグループの表の下にあるプレビュー領域に表示できます。既存メンバーのリストは関連があるため、調査担当者は選択したエンティティのいずれかが選択したグループのメンバーであるかどうかを判別し、そのエンティティを追加用に選択または選択解除するかどうかを決定できます。
エンティティを同じグループに複数回追加することはできません。
「次」をクリックします。
グループに追加するデータ要素は、次の画面にリストされます。選択したグループおよび追加するデータ要素はこのページに表示されます。
戻ってデータ要素を変更するには、「戻る」ボタンをクリックします。これらのデータ要素の追加に進むには、「終了」ボタンをクリックします。
「終了」をクリックすると、「グループに追加」ダイアログが表示され、選択したグループにデバイスが正常に追加されました。というメッセージが示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
「新規グループの作成」を使用すると、新規グループを作成して、この新しく作成したグループにエンティティを追加できます。
「新規グループの作成」を選択して、エンティティを追加する新規グループを作成するプロセスを開始します。
「グループ名」フィールドにグループの名前を入力します。最大256文字のASCII文字または最大85文字のUTF-8文字を入力できます。
「キャッシュ・ポリシー」フィールドからキャッシュ・ポリシーを選択します。選択項目は「なし」または「フル・キャッシュ」です。
「説明」ボックスに説明を入力し、「次」をクリックします。最大256文字のASCII文字または最大85文字のUTF-8文字を入力できます。
グループに追加するデータ要素が、「グループに追加」ダイアログにリストされます。戻ってデータ要素を変更するには、「戻る」ボタンをクリックします。データ要素の追加に進むには、「終了」ボタンをクリックします。
「完了時にこのグループの詳細タブを開きます。」チェック・ボックスが選択されている場合、「終了」をクリックした後にグループ詳細ページが開きます。
同じ名前を持つグループがすでに存在している場合はエラーが発生し、そうでない場合はデータベース内にグループが作成されて、同じトランザクション内でこの新規グループにエンティティが追加されます。
「エンティティ」タブをクリックして、新しく作成されたグループにエンティティが追加されていることを確認します。
|
注意: メンバーを除くグループ定義は、インポートおよびエクスポートでき、スナップショットで使用できます。必要に応じて、メンバーを明示的にエクスポートおよびインポートする必要があります。 |
調査担当者が状況の調査を終えて結論に達した(状況を理解した)ら、処置とともにケースを閉じます。クローズ済ケースとは、問題が解決されているため、それ以上の調査を必要としないケースのことです。クローズ済ケースには、そのケースでどのように問題が解決されたかを記述する処置が含まれます。ケースに処置が存在するのは、クローズされている場合のみです。
ケース詳細ページを開きます。
「ノートの追加」、「ステータスの変更」または「重大度の変更」を行えます。
「ステータスの変更」をクリックします。「ステータスの変更」ダイアログが表示されます。このケースのステータスを選択し、ノートを入力します。次に、「送信」をクリックします。
選択項目は、「ステータス」、「事前に作成したノート」および「ノート」です。選択するステータスは、「新規」、「保留中」および「クローズ済」です。
「ステータス」リストで、「クローズ済」を選択します。
「処置」フィールドがダイアログに表示されます。
次の項目の中から処置を選択します。
確認済不正
重複
偽陰性
偽陽性
問題保留中
問題解決済
不正ではない
状況を最も的確に記述する「事前に作成したノート」を選択します。
調査結果を要約する最終ノートを入力します。マネージャまたは監査者は、行われたアクションおよび関与したユーザーを含む、ケース・アクティビティに関するこれらのノートを表示できます。
「送信」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
ケースとは、調査担当者が調査中に収集する詳細を格納するためのコンテナです。ケースが作成されると、調査担当者はそのケースを検索して、詳細を表示します。
処理する自動生成されたケースを検索するには、次の手順を実行します。
ケース検索ページから、最新の時間ですべてのエージェント・ケースをフィルタし、「ケース・ステータス」フィールドで「新規」を選択します。次に「検索」をクリックします。
たとえば、過去2時間以内に作成された自動生成ケースを検索するには、調査担当者は次のように選択します。
結果表には「ケースID」列が含まれており、これは「ケースID」列ヘッダーをクリックして昇順または降順でソートできます。その隣にある上矢印および下矢印は、データの現在の順序を示します。「ケースID」列ヘッダーをクリックして、結果を昇順でフィルタします。最小のケースID番号が最も古いものです。
ケースIDをクリックしてケースを開きます。
「新規」ステータスを持つケースに調査担当者がアクセスして処理を開始すると、ステータスが自動的に「保留中」に変わり、「現在の所有者」が調査担当者になります。
ケース詳細ページでは、現在の所有者およびケース・ステータスに関する情報を提供します。
他の調査担当者は、このケースが現在使用中であると判別できるようになります(ケースに所有者が設定され、ステータスが「新規」ではなく「保留中」であるため)。調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。
ケースが自動的に作成された場合、セッションがそのケースにリンクされているため、すべてのセッション・データが取得され、確認できるようになっています。これには、そのセッションでトリガーされた一連のアラートがすべて含まれます。調査担当者は、アラート・メッセージを読んで、この状況で何が発生したのかを理解できます。彼は最も高いアラートを調べて、それが生成された経緯を確認できます。たとえば、匿名プロキシは本当の地理的位置を隠すために犯罪者によって使用されることが多いため、匿名プロキシを使用している場合はバンキングが銀行のセキュリティ・ポリシーによって制限されている場合があり、匿名プロキシであることがわかっているIPからアクセスが試みられたためにアラートがトリガーされました。
ケース詳細ページで、「リンク・セッション」タブをクリックしてセッションのアラートおよび詳細を表示します。
「リンク・セッション」タブを使用すると、調査中のケースにリンクされているすべてのセッションを表示できます。タブには、リンクされた日付、アラート、トランザクションおよびリンク時に入力されたノートなどの情報も表示されます。表5-10に、検索結果で使用できる列をまとめます。
表5-10 「リンク・セッション」列
| フィールド | 説明 |
|---|---|
|
リンク日 |
調査担当者によって、セッションがケースに関連付けられた日付。 |
|
セッションID |
不正調査担当者によって、エージェント・ケースに関連付けられたセッションの一意の識別子。 |
|
ユーザー名 |
アカウントに関する問題を送信した個人の一意の識別子。 |
|
デバイスID |
トランザクションに使用されたデバイスの一意の識別子。 |
|
デバイス・スコア |
ユーザーがセッションで使用した特定のデバイスについて計算されたリスクのレベル。 |
|
IPアドレス |
ユーザーがインターネットにログオンするたびに、そのユーザーのデバイスにインターネット・サービス・プロバイダが発行する一意のネットワーク識別子。ログイン元のデバイスのIPアドレス。 |
|
ロケーション |
ログイン元のデバイスの地理的位置。 |
|
トランザクション |
そのセッションで行われたトランザクション。 |
|
アラート |
トランザクション・プロセス中に、ユーザーに対してトリガーおよび生成されたアラート。 |
|
セッション日 |
セッションが行われた日時。 |
|
ノート |
セッションがリンクされた理由に関するノート。 |
「アラート」列のアラートの左上隅に、小さいオレンジ色の四角が表示されます。四角にカーソルを置くと、「ノート」アイコンを含むより大きな三角が表示されます。三角をクリックすると、ある重大度レベルのアラートの合計数およびアラート・メッセージがポップアップに表示されます。
セッションでトリガーされた一連のアラートをすべて表示し、アラート・メッセージを読んでこの状況で何が発生したのかを理解できます。アラートが生成された理由を表示し、各詳細を確認しながら調査を続けます。
アラート・ポップアップでアラート・メッセージのリンクをクリックすると、詳細を示すアラート詳細ページが開きます。
詳細ページを使用して、アラートの生成に関する情報、メッセージ、アラート・レベル、メッセージ・タイプおよびその他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システムおよびロケールなど)とアラートとの関係を表示します。
表5-11に、詳細ページと各ページで提供される情報のタイプをリストします。
表5-11 「アラート詳細」タブ
| 「アラート詳細」タブ | 説明 |
|---|---|
|
サマリー |
アラートに関する一般情報および現在の詳細(レベル/タイプ)を含むアラート・テンプレートを表示します。 アラートが関連付けられているアラート・グループを表示します。 |
|
ユーザー |
このアラートがトリガーされたセッションを持つユーザーを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのユーザーにアラートが生成されたか、およびユーザーごとのアラートの生成回数を確認できます。 |
|
デバイス |
このアラートがトリガーされたセッションに含まれていたデバイスを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのデバイスにアラートが生成されたか、およびデバイスごとのアラートの生成回数を確認できます。 |
|
ロケーション |
このアラートがトリガーされたセッションに含まれていたロケーションを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのロケーションにアラートが生成されたか、およびロケーションごとのアラートの生成回数を確認できます。 |
|
セッション |
このアラートがトリガーされたセッションを表示します。 |
|
フィンガープリント・データ |
アラートが生成されたログイン・プロセスで作成されたフィンガープリントを表示します。 |
トランザクションおよびセッションの詳細を表示するには、次の手順を実行します。「トランザクション」列で、セッション内のトランザクションの隣にあるオレンジ色の四角をクリックし、そのセッションで行われたトランザクションをポップアップに表示します。次にトランザクションをクリックしてさらにデータを表示します。
「サマリー」セクションおよび「トランザクション・データ」セクションが示されます。
表5-12 サマリーおよびトランザクション・データ
| 詳細 | 説明 |
|---|---|
|
トランザクション・タイプ |
トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。 |
|
トランザクションID |
トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。 |
|
トランザクション日 |
トランザクションが行われた日時。 |
|
セッションID |
ログインまたはトランザクションが行われたセッションの一意の識別子。リンクにより、調査担当者はセッション詳細ページに移動します。 |
|
説明 |
行われたトランザクションの追加説明。 |
|
デバイスID |
トランザクションに使用されたデバイスの一意の識別子。リンクにより、調査担当者はデバイス詳細ページに移動します。 |
|
ユーザー名 |
ユーザーがログインするために入力するログイン名。ユーザー詳細ページにリンクします。 |
|
IPアドレス |
トランザクションのロケーションにマップされるアドレス。 |
|
市区町村 |
トランザクションが行われた市区町村。 |
|
都道府県 |
トランザクションが行われた都道府県。 |
|
国 |
トランザクションが行われた国。 |
|
トランザクション・データ |
トランザクション・タイプ、エンティティおよびランタイム・データ。 |
セッションからデータ・ポイントを選択して詳細にドリル・インすることによって、さらに詳しく調査します。
トランザクションの検索ページで、「検索結果」表の「トランザクション・タイプ」列にあるトランザクションをクリックし、トランザクション詳細ページからトランザクションをさらに詳細に表示します。
このページでは、次のオプションも使用できます。
グループに追加
ケースへのリンク
上部セクションには、トランザクションに関する一般情報がセッションIDとともに表示されます。
表5-13 トランザクションのサマリー情報
| 詳細 | 説明 |
|---|---|
|
トランザクション・タイプ |
トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。 |
|
トランザクションID |
トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。 |
|
トランザクション日 |
トランザクションが行われた日時。 |
|
セッションID |
ユーザーのオンライン・トランザクション・セッションを識別する一意の識別子。セッション詳細ページにリンクします。 |
|
説明 |
ノートのリンク。 |
|
デバイスID |
各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。デバイス詳細ページにリンクします。 |
|
ユーザー名 |
ユーザーがログインするために入力するログイン名。ユーザー詳細ページにリンクします。 |
|
IPアドレス |
通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。IP詳細ページにリンクします。 |
|
市区町村 |
市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。市区町村詳細ページにリンクします。 |
|
都道府県 |
都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。都道府県詳細ページにリンクします。 |
|
国 |
国ID。国詳細ページにリンクします。 |
トランザクションの詳細は、名前と値の表で表示されます。次の情報が、次に示す順序で表示されます。
トランザクション・データ
エンティティ・インスタンス
関連エンティティ・インスタンス
トランザクション詳細ページで、アラートおよびアクションを表示します。
このセクションに表示されるセッション・データには、次のものがあります。
アラートおよびアクション
最終アクション
「アラート」表には、アラート・レベル、アラート・メッセージ、トリガー日などの追加情報が表示されます。
ルールおよびポリシー名はトリガー・ソース下でリンクされ、これによって対応する詳細ページを開くことができます。
フィルタ済セッション・ページを開くには、次の手順を実行します。
「セッション件数」リンクをクリックして、先に指定したデータ・ポイントによりフィルタされたセッションを表示します。
フィルタ・ページから、次のデータ要素を表示します。
表5-16 フィルタ・ページの検索結果
| フィールド | 説明 |
|---|---|
|
セッションID |
このセッションに対する一意の識別子。セッション詳細にリンクします。 |
|
アラート |
トランザクションから生成されたアラート。 |
|
トランザクション |
データ・ポイントによってフィルタされたトランザクション。 |
|
組織ID |
ユーザーが属する組織を識別します。 |
|
ユーザー名 |
ユーザーがログインするために入力するログイン名。ユーザー詳細ページにリンクします。 |
|
デバイスID |
各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。 |
|
IPアドレス |
通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。 |
|
ロケーション |
トランザクションが行われた場所。 |
|
セッション日 |
セッションが行われた時間。 |
|
クライアント・タイプ |
仮想認証デバイス。認証またはフィンガープリント処理に使用されたデバイスまたはアプリケーション。たとえば、TextPad、KeyPad、質問パッド、ログイン・ページ、Flashトラッカです。auth.client.type.enumが使用される列挙です。 |
|
ユーザーID |
そのユーザーの一意の識別子。 |
注意: 「グループに追加」機能をこのページから使用できます。
類似性を見つけるためにトランザクション・データを比較します。同じトランザクション定義タイプの複数のトランザクション検索結果を選択して、「比較」ボタンをクリックすると、「トランザクションの比較」タブが開き、このタブを使用してこれらのトランザクションを比較できます。
調査担当者は、選択したトランザクション間で共通のデータ要素のみをフィルタおよび表示できます。デフォルトでは、共通でないデータ要素を含む、選択したトランザクションのすべてのデータ要素が比較ページに表示されます。
同じタイプの2つ以上のトランザクションを選択してその値を比較するには、次の手順を実行します。
ユーティリティ・パネルの「関連アイテムが見つかりました」セクションで、一致するトランザクションの数をクリックし、フィルタ済データ要素を確認します。
フィルタ済トランザクション・ページの「検索結果」表で、同じトランザクション・タイプの2つ以上のトランザクション検索行を選択し、「比較」をクリックします。
検索結果から少なくとも2つのトランザクションを選択するまで、「比較」オプションは無効です。
比較は、同じタイプのトランザクションに対してのみ行えます。デフォルトでは、最大10件のトランザクションを比較できます。調査担当者はフィルタを適用して、デフォルトで使用可能な10件のトランザクションの中からいくつかのトランザクションを選択して表示できます。
「比較」をクリックすると新規タブが開き、調査用にトランザクション値が表示されます。
「トランザクションの比較」タブで、トランザクションおよびエンティティのデータを比較対照します。
デフォルトでは、最大10件のトランザクションを比較できます。
使用可能なトランザクションの中から、フィルタを適用することで、いくつかのトランザクションを選択して表示します。
疑わしいトランザクションに関係する追加のデータ要素を「フィルタ・アイテム」パネルに1つずつドラッグ・アンド・ドロップし、評価が必要な他のアクティビティがあるかどうかを確認します。
Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。
ユーザーJohnは疑わしく、銀行の異なるアカウント番号に複数回の電信送金を行っています。調査担当者は、すべてのアカウント番号および各送金の金額を結果にリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。
| フィルタ | エンティティ・フィールド |
|---|---|
|
トランザクション名 |
電信送金 |
|
エンティティ |
カスタマ |
|
エンティティの名 |
John |
|
結果 |
|
|
トランザクション・データ |
金額 |
|
エンティティ |
アカウント |
|
トランザクション・フィールド |
宛先アカウント番号 |
Jeffは、タイプが同じ電信送金である2つのトランザクション検索行を選択し、「比較」ボタンをクリックします。トランザクションおよびエンティティ・データを比較する「トランザクションの比較」タブがJeffに表示されます。
ユーティリティ・パネルには「ケース・ノート」領域が含まれ、現在のケースのすべてのノートが、時間の降順で示されます。ノートをケースに追加することにより、調査担当者は、検索結果、非表示の関係または通常と異なる動作を記録および共有できます。調査担当者は、調査を進めながら、ノートを入力して「ノートの追加」をクリックすることにより、「ケース・ノート」パネルに直接ノートを追加できます。
検索結果を記録する過程で、調査担当者はフィルタ基準を保存して、他の調査担当者がそのケースの関連データ・ポイントを確認できるようにすることができます。フィルタを含めるには、「フィルタ・アイテムの挿入」をクリックして、フィルタ詳細をノートとして追加できるようにします。調査担当者が追加できるノートの数に制限はありません。調査担当者がさらにノートを追加する必要がある場合、パネルにはスクロール機能が備わっています。検出プロセスを時間に沿って追跡することにより、調査担当者は、どのように結論に達したかを他の人に示すことができます。
「ケース・ノート」パネルで直接ケースに新規ノートを追加するには、次の手順を実行します。
「ケース・ノート」パネルにノートを入力します。
ケースにノートを追加した後で、「ケース・ノート」パネルの「ノートの追加」ボタンをクリックします。すべてのケース・ノートが、時間に基づく降順でパネルに表示されます。調査担当者が処理を開始する前に、ケースの履歴をすべて把握できるため、これは非常に有用な情報です。
「フィルタ・アイテムの挿入」をクリックして、フィルタ済データ要素およびその値をケースにノートとして追加します。これにより調査担当者は、ケースの関連データ・ポイントを確認できます。
このアクションでは、検索に実際に使用されたデータ要素のみが追加され、「フィルタ・アイテム」パネル内のすべてのデータ要素が追加されるわけではありません。たとえば、デバイスIDの1234がフィルタ・データ要素に追加されても、チェックされていない場合、これはこのIDが検索で使用されていないため、挿入されないことを意味します。
後で「ケース・ノート」の「ケースを閉じる」ボタンをクリックすると、「ケース・ノート」パネルを含むフィルタ・ユーティリティ・パネルが自動的にリフレッシュされます。
注意: 「ケース・ノート」パネルにはリンク・ノートは表示されません。「ケース・ノート」パネルで直接追加されたケース・ノート、およびツール・バーの「ノートの追加」を使用して追加されたノートのみが表示されます。
ケース・ノートは必須です。
調査担当者が状況の調査を終えて結論に達した(状況を理解した)ら、処置とともにケースを閉じます。
ケース詳細ページを開きます。
選択肢は、ノートの追加、ケースのステータスの変更またはケースの重大度の変更です。
「ステータスの変更」をクリックします。「ステータスの変更」ダイアログが表示されます。このケースのステータスを選択し、ノートを入力します。次に、「送信」をクリックします。
「ステータス」リストで、「クローズ済」を選択します。
「処置」フィールドがダイアログに表示されます。
次の項目の中から処置を選択します。
状況を最も的確に記述する「事前に作成したノート」を選択します。
調査結果を要約する最終ノートを入力します。マネージャまたは監査者は、行われたアクションおよび関与したユーザーを含む、ケース・アクティビティに関するこれらのノートを表示できます。
「送信」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックして、確認ダイアログを閉じます。
調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。調査担当者が初めてケースにアクセスすると、ステータスが自動的に「保留中」に変わり、現在の所有者がケースを開いた調査担当者になります。エスカレーション済ケースを開き、CSRおよびCSRマネージャが入力したノートをログで確認することがベスト・プラクティスです。
エスカレーション済ケースには次のタブが含まれます。
サマリー: ケースに関する詳細をリストします
リンク・セッション: ケースにリンクされたセッションをリストします
ログ: ケース・アクション・ログをリストします
「サマリー」タブには、ケース詳細が表示され、ケースがエスカレーション済ケースの場合には、そのケースに関連付けられているユーザーの詳細が表示されます。ユーザーなしのエージェント・ケースには「ユーザー詳細」セクションが表示されます。
このケースはカスタマ・サービス・ケースに基づくため、特定のユーザーの情報が詳細に含まれます。ケース詳細を調べ、ユーザーを確認します。セッションの検索にユーザーIDが必要となるため、そのIDを書き留めます。
ログ・セクションには、ケースに対して行われたアクションのログが表示されます。検索フィルタは次のとおりです。
表5-17 ログ検索フィルタ
| フィルタ | 説明 |
|---|---|
|
ノート・キーワード |
事前に作成したノートからのキーワード。 |
|
ARM ID |
CSR識別子。 |
|
アクション |
ケースの最後のアクション。たとえば、jsmithは昨日カスタマ・サービスに電話をかけ、自分のアカウントからお金が失われていることを伝えました。CSRはケースをエスカレーションし、jsmithに24時間以内に連絡することを伝えました。36時間後、jsmithは再度電話をかけて、連絡がない理由を尋ねます。CSRは、jsmithに対して昨日エスカレーションされたケースを表示する必要があります。彼は、「エスカレーション」アクションを含むjsmithのケースおよび過去48時間以内に期限超過していないケースを検索します。 |
|
作成日 |
ケースが作成された日付。 |
エスカレーション済ケースのユーザー・データには、次の情報が表示されます。
表5-18 ユーザー・データ
| データ | 説明 |
|---|---|
|
ユーザー名 |
ケースが作成された対象のユーザー。 |
|
ユーザーID |
自動生成されるかどうか。 |
|
組織ID |
アプリケーションの識別子。(マルチテナント・デプロイメントの場合、CSRは自分のアプリケーションIDに限定されたケースにのみアクセスできます。CSRマネージャおよび調査担当者は、複数のアプリケーションのケースにアクセスできます。) |
|
最終オンライン・アクション |
ユーザーが実行した最後のアクション。たとえば、チャレンジ質問に回答した場合はフィールドに「チャレンジ質問」と表示され、ユーザーがブロックされた場合は「ブロック」と表示されます。 |
|
最終オンライン・アクションの日付 |
最後のオンライン・アクションが実行された日付。 |
|
一時許可の有効期限日 |
一時許可が有効になっている場合、このフィールドには、その有効期限日が示されます。一時許可が7日の場合、有効期限日は今日から1週間後です。 |
|
一時許可有効 |
一時許可が有効である場合、このフィールドには「はい」と表示され、それ以外の場合は「いいえ」と表示されます。 |
|
OTPバイパス有効 |
一時許可と似ていますが、OTPチャレンジはブロックではなく無視されます。 |
|
OTPバイパス有効期限日 |
OTPバイパスが有効でなくなる日時。 |
|
完了した登録 |
ユーザーが登録を完了している場合、このフィールドには「はい」と表示され、それ以外の場合は「いいえ」と表示されます。登録するには、ユーザーはパーソナライズ(イメージとフレーズ)、KBA質問/回答の登録、および電子メール/携帯電話の連絡先情報の入力をすべて完了する必要がある場合があります。 |
|
アクティブな質問 |
ユーザーが登録を完了していても質問がリセットされており、ユーザーが戻って新しい質問を登録していない場合、このフィールドには「いいえ」と表示されます。ユーザーが登録を完了しており、ユーザーにチャレンジするために使用できる質問が存在する場合、このフィールドには「はい」と表示されます。 |
|
OTP提供方法有効 |
ユーザーは、OTPチャレンジ用に電子メールまたは携帯電話のいずれかを登録しています。 |
|
パーソナライズ・アクティブ |
イメージ、フレーズおよび質問がユーザーに対して有効になっている場合、このフィールドには「はい」と表示されます。これらのいずれかがリセットされている場合、このフィールドには「いいえ」と表示されます。 |
「ケース詳細」には、次の情報が表示されます。
表5-19 ケース詳細
| 詳細 | 説明 |
|---|---|
|
ケースID |
ケースを識別するための一意のケース番号。 |
|
組織ID |
ケースの組織ID。 |
|
作成者 |
これには、ケースを作成した不正調査担当者の名前が表示されます。構成可能なアクションによってケースが作成されている場合、「作成者」には動的と表示されます。 |
|
現在の所有者 |
現在このケースを使用中の調査担当者の名前。 |
|
ケース作成済 |
エージェント・ケースが作成された日付。 |
|
ケース・タイプ |
「エージェント」、「CSR」または「エスカレーション済」(エスカレーション済ケースは作成できません) |
|
重大度レベル |
重大度レベルはケースを作成するユーザーによって設定され、このケースの重大度をユーザーに伝えるマーカーとして使用されます。誰でもケースの重大度を変更できます。 |
|
説明 |
ケースの詳細。説明は必須です。 |
|
処置 |
ケースが閉じている場合、処置はケース内の問題が解決された方法を示します。ケースに処置が存在するのは、クローズされている場合のみです。ケースのステータスがクローズ済以外である場合、処置は空白です。 |
|
ケース・ステータス |
ケース・ステータスは、エージェント・ケースが手動で作成された場合は「保留中」になり、エージェント・ケースが(構成可能なアクションによって)自動的に作成された場合は「新規」になり、ケースがアクセスされると「保留中」に変わります。エスカレーション済ケースでは、ケース・ステータスは「エスカレーション済」になり、調査担当者がこのケースにアクセスすると、「保留中」に変わります。 ケース・ステータスは、様々な管理者によりアクセスされると変更されます。 |
|
有効期限日 |
エージェント・ケースおよびエスカレーション済ケースには、作成日から24時間のデフォルトの有効期限日があります。有効期限日より前にケースがアクセスされない場合、ステータスが「期限超過」になります。ケースがアクセスされるたびに、エージェント・ケースまたはエスカレーション済ケースの有効期限日が新しい値にリセットされ、デフォルトではこの日付はケースにアクセスがあった日付から24時間後にリセットされます。 |
|
最終ケース・アクション |
エスカレーション済またはエージェント・ケースで実行された最後のアクション。エージェント・ケースにはユーザー詳細はありません。 |
|
最終アクションの日付 |
最後のアクションが行われた日付。 |
|
最終グローバル・ケース・アクション |
エスカレーション済CSRケースから作成されていないエージェント・ケースの場合、「最終グローバル・ケース・アクション」フィールドは常に空です。ユーザーに関連付けられているエージェント・ケース(エスカレーション済ケース)の場合、最終グローバル・ケース・アクションは、エージェント・ケースに関連付けられているユーザーが最後に実行したケース・アクションです。ケース・アクションは、すべてのケースに対して実行できます(CSR/不正調査担当者)。 |
|
最終グローバル・ケース・アクションの日付 |
オンライン・ユーザーに対して実行された最後のアクション。 |
サマリーには現在の所有者およびケースを作成した不正調査担当者が表示される
サマリー・データには、現在の所有者およびケースを作成した不正調査担当者が表示されます。ケースが構成可能なアクションによって作成された場合、ケースの作成者として動的が表示されます。
「セッション」タブをクリックします。セッション検索ページが表示されます。
セッション・フィルタは次のとおりです。
表5-20 セッション検索フィルタ
| フィルタ | 説明 |
|---|---|
|
セッションID |
セッションのID。 |
|
組織ID |
ユーザーが属する組織を識別します。 |
|
アラート・レベル |
アラートの重大度。「高」、「中」、「低」のいずれかです。 |
|
アラート・メッセージ |
アラートに設定されたテキスト・メッセージ。 |
|
ユーザー名 |
ユーザーがログインするために入力するログイン名。 |
|
デバイスID |
各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。 |
|
IPアドレス |
通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。 |
|
認証ステータス |
セッションのステータス(ログインまたはトランザクション試行のたびに新規セッションが作成されます)。詳細は、「認証ステータス」を参照してください。 |
|
国 |
国ID。 |
|
都道府県 |
都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。 |
|
市区町村 |
市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。 |
|
IP範囲 |
IPアドレスの範囲。 |
|
ログイン時間 |
トランザクションを実行するためにカスタマがログインした時間。たとえば、5/11/09です。 |
|
デバイス・タイプ |
デバイスがラップトップ/デスクトップまたはモバイル・デバイスであるかを表します。 |
|
クライアント・アプリケーション |
ユーザーがアクセスしたネイティブ・モバイル・アプリケーションを示します。 |
|
緯度/経度: |
デバイスの地理空間位置(GPSのWIFI三角測量により使用可能な場合) |
|
外部デバイスID |
MDMまたはその他のサード・パーティ・ソリューションにより一意のモバイル・デバイス識別子が提供されている場合に使用されます。 |
セッション検索ページで、検索フィルタに基準を指定して、返されるセッション数を絞り込みます。
たとえば、過去12時間の「高」アラートおよび「ブロック済」または「ロック済」認証ステータスを持つセッション(「時間」、「アラート・レベル」および「アクション」によってフィルタされたセッション)を検索します。
「検索」ボタンをクリックすると、基準に一致するセッションのリストが検索結果に表示されます。
表5-21 セッション検索結果
| フィールド | 定義 |
|---|---|
|
セッションID |
セッションのID。 |
|
アラート |
アラートの重大度およびアラートの数。詳細ボタン(オレンジ色の四角)をクリックすると、その重大度レベルのアラートの数およびトリガーされたアラートに関する詳細が表示されます。 |
|
トランザクション |
セッション中に行われたトランザクションのタイプ。詳細ボタン(オレンジ色の四角)をクリックすると、特定のトランザクションのトランザクション詳細ページを開くためのリンクにアクセスできます。このページには、トランザクションの一般サマリー、エンティティを含むトランザクション・データおよび値を含むトランザクション・データが含まれます。 |
|
組織ID |
ユーザーが属する組織を識別します。 |
|
ユーザー名 |
ユーザーがログインするために入力するログイン名。 |
|
デバイスID |
各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。 |
|
IPアドレス |
通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。 |
|
ロケーション |
国ID、都道府県IDおよび市区町村ID |
|
認証ステータス |
セッションのステータス(ログインまたはトランザクション試行のたびに新規セッションが作成されます)。 |
|
ログイン時間 |
トランザクションを実行するためにカスタマがログインした時間。たとえば、5/11/09です。 |
|
認証前スコア |
「認証前」チェックポイントのスコア。 |
|
認証後アクション |
「認証後」チェックポイントのアクション。 |
|
クライアント・タイプ |
仮想認証デバイス。認証またはフィンガープリント処理に使用されたデバイスまたはアプリケーション。たとえば、TextPad、KeyPad、質問パッド、ログイン・ページ、Flashトラッカです。auth.client.type.enumが使用される列挙です。 |
|
ユーザーID |
そのデバイスの一意の識別子。 |
|
内部セッションID |
セッションのシステム生成ID。 |
セッション詳細ページには、不正分析の特定のセッションで発生したイベントの概要が表示されます。次の項目が含まれます。
ユーザー、デバイス、ロケーションおよびその他の詳細などの一般的なセッション・データ・ポイント
カスタム・フィンガープリント・タイプに関する追加情報および提供されている即時利用可能なフィンガープリント情報
評価されたトランザクションおよびチェックポイントなどのセッションのフォレンジック・レコード。各チェックポイントには、そのチェックポイントのポリシー、そのチェックポイントでセッション時にトリガーされたアラート、およびそのチェックポイントの最終アクションが表示されます。
セッション詳細ページには、複数のパネルが含まれます。情報が使用可能でない場合は、パネルは表示されません。「セッション詳細」および「セッション・トランザクション」パネル以外のすべてのパネルは、実行順に表示されます。セッション詳細ページを見ると、イベントのフロー(セッション内でイベントが発生した順序)がわかります。
「セッション詳細」パネルには、ログイン・トランザクションに関するすべての関連情報が示されます。これには、認証ステータス、ユーザーのログイン元のIPアドレス、ユーザー名、ユーザーID、Cookie情報、自動学習処理のステータス、ログイン時間およびデジタル・フィンガープリントを収集するために使用されたデジタル・フィンガープリントのタイプが示されます。カスタム・フィンガープリントが使用されている場合は、カスタム・フィンガープリント・タイプ名が示されます。
使用例: 速度アラートおよびロック済認証ステータスとともにセッション(名前またはID)が表示されています。経験上、この組合せが示されることは非常に希であり、多くの場合不正が試みられていることを示します。これは盗難された認証資格証明のケースである可能性があるため、調査する必要があります。このセッションの詳細画面を開いて、このセッションで具体的に何が行われたのかを詳しく調べます。ログインによりKBAチャレンジがトリガーされ、質問に回答しようとして3回失敗したためにロックされたことがわかります。また、このルールの結果として、ユーザーが高リスク・ユーザー・グループに動的に追加されたこともわかります。チャレンジの原因となったポリシーにドリル・インして、どのルールがトリガーされたかを確認します。また、このユーザーが、このロックアウトに関連するCSRケースを持っているかどうかも確認します。CSRケースを検索して、Phillipが自分のKBA質問をリセットするために呼び出されているかどうかを確認します。
「セッション・トランザクション」パネルでは、名前と値の表にトランザクションが示されます。次の情報が、次に示す順序で表示されます。
トランザクション・データ
エンティティ・インスタンス
関連エンティティ・インスタンス
使用例: Jeffは、自動的に生成されたケースを調査している不正調査担当者です。彼は、ケース内で2つのアラートが生成されたことを確認できます。それらがトリガーされた具体的な理由を確認するために、彼は「セッション詳細」を開きます。このビューから、トリガーされたルール・インスタンス、それらを含むポリシー、そのポリシーにリンクされているチェックポイントおよびそのチェックポイントに関連するトランザクションを確認できます。また、アクションまたはスコア・オーバーライドがあるかどうかも簡単に確認できます。すべてのエンティティおよびトランザクション・データに、セッション詳細ページから簡単にアクセスできます。これには、外部トランザクションIDおよび保護されたアプリケーションからのトランザクション・ステータスが含まれます。調査担当者はこのデータを使用して、疑わしいトランザクションをアプリケーション・トランザクションまで遡って追跡し、そのトランザクションが成功したか、拒否されたか、遅延されたかまたはブロックされたかを確認できます。
調査担当者は、なぜ特定のルールがトリガーされたかに関心があります。たとえば、どのポリシーとルールによってアラートがトリガーされたのかを調査する場合があります。
これらの詳細を確認することにより情報を収集できます。たとえば、認証前と認証後のチェックポイントを正常に通過したユーザーであれば、パスワードと質問および回答を知っていたことになり、有効なユーザーである可能性が高いといえます。一方、質問に2度答えようとして3度目に正しい答えを出したユーザーは、疑わしいとみなされる場合があります。このユーザーは答えが即座に分からなかったため、新しい答えを試行する不正である可能性があります。
そのチェックポイント内のポリシーのリストが、「ポリシー」パネルに表示されます。トリガーされたルールおよびアクションが表示されます。
表5-22 チェックポイント内のポリシー
| 項目 | 説明 |
|---|---|
|
名前 |
チェックポイント下にあるポリシーの名前、ポリシー下にあるルール、ルール下にある条件およびトリガーされたアクション。 |
|
ステータス |
「実行済」(ポリシーの場合)および「トリガー済」(ルールの場合)。 |
|
スコアリング・エンジン |
スコアリング・エンジンは、ポリシー・レベルおよびチェックポイント・レベルで提供されます。 ポリシー・スコアリング・エンジンは、各ポリシーのリスクを判別するためにルール・スコアに適用されます。 |
|
時間 |
発生時間。 |
|
重み |
合計スコアに反映するために使用されるパーセント値。 |
|
スコア |
特定の状況または状況の一部について計算され、数値で表されるリスクのレベル。1つのチェックポイント下に複数のポリシーがあります。これらのポリシーのスコアは、チェックポイントのスコアを決定するために使用されます。 |
図5-16に、セッション詳細ページに表示されるアラート、アクションおよびスコアの例を示します。
アラート
「アラート」パネルには、次の表に示すとおり、セッション中にチェックポイントに対して生成されたアラートおよびアラートの詳細が表示されます。各チェックポイントにより、複数のアラートがトリガーされることがあります。高レベル・アラートは、赤色の太字で表示されます。
表5-23 セッション・チェックポイント・アクション
| 項目 | 説明 |
|---|---|
|
レベル |
アラートの重大度。「高」、「中」、「低」のいずれかです。 |
|
アラート・メッセージ |
アラートに設定されたテキスト・メッセージ。 |
|
タイプ |
アラートのタイプ。不正、調査、情報またはその他の理由です。 |
|
トリガー・ソース |
特定のアラートを生成したルール。 |
|
タイムスタンプ |
アラートが生成された時間。 |
アクション
すべてのアクションが、「アクション名」列およびそのアクションが最終であるかどうかを示す個別の列を含む「アクション」パネルに表示されます。最終アクションは、チェックポイント・パネルの右上のセクションにも表示されます。
スコア
スコアは、ポリシーおよびチェックポイントについて表示されます。スコアは、不正またはビジネス・シナリオの確率の検出および意思決定に役立ちます。
チェックポイント・パネルは実行の時系列順に並べられ、チェックポイントおよびそれらのチェックポイントでトリガーされたアクションおよびアラートのリストが表示されます。デフォルトでは、チェックポイント・パネルは閉じた状態になっています。最初に開いたビューでは、トランザクションおよび最終アラートのみが開いた状態で表示されます。その他のすべてのパネルは閉じた状態です。そのチェックポイントの追加情報を表示するには、すべてのパネルを開きます。
最初のチェックポイント・パネルは、認証前用のパネルである場合があります。パネルの上部に、このチェックポイントの実行にかかった時間の合計、最終アクションおよび最終リスク・スコアが表示されます。
トランザクション検索ページを使用すると、調査担当者はセッションとは関係なくトランザクションを検索できます。トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択する必要があります。トランザクション・タイプに基づいて、追加できる、対応するエンティティおよびトランザクション・フィールドが表示されます。これらはトランザクションの属性です。検索する属性の値を入力して、トランザクション結果をフィルタします。「トランザクション・タイプ」および「トランザクション日」フィールドは必須です。デフォルトでは、日付は過去24時間に設定されています。
いずれかのトランザクションをクリックして、トランザクション詳細ページを開きます。「グループに追加」機能は、示されているすべてのデータ型で使用できます。
トランザクションを検索するには、次の手順を実行します。
エージェント・ケース・ページで、「トランザクション」タブをクリックします。
トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択する必要があります。「トランザクション名」フィールドでトランザクション・タイプを選択します。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。
「トランザクション日」フィールドに値を入力します。これらは必須です。デフォルトでは、日付は過去24時間に設定されています。
特殊文字を入力すると、エラー・メッセージが表示されます。また、「終了日」を「開始日」より前にすることはできません。
検索フィールドで、基準を入力し、検索演算子を使用して検索する問合せを絞り込み、トランザクション結果をフィルタして、「検索」をクリックします。
表5-24に、トランザクションを検索およびフィルタするためのトランザクション・フィルタをリストします。
表5-24 トランザクションの検索フィルタ
| フィルタ | 説明 |
|---|---|
|
トランザクション・タイプ |
トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。「トランザクション名」フィールドは、検索をそのトランザクションに制限するための必須フィールドです。トランザクションのタイプを選択すると、検索に追加するために選択できる、対応する「トランザクション・データ」および「エンティティ・データ」フィールドがOAAM管理に移入されます。トランザクション名属性は複数選択できます。 |
|
トランザクション日 |
トランザクション日は、トランザクションが送信された時点です。 |
|
トランザクション・ステータス |
トランザクション・ステータスは、トランザクションの現在の状態です。値は「成功」、「失敗」または「保留中」です。 |
|
トランザクションID |
トランザクションIDは、処理された各トランザクションに割り当てられる一意の数値参照です。 |
|
セッションID |
セッションIDは、カスタマがトランザクションを実行する前にログインする認証セッションの識別子です。 |
|
組織ID |
組織IDは、ユーザーが所属する組織の一意の識別子です。各ユーザーは、1つの組織IDのみに属します。これによって、ユーザーがどのテナント・アプリケーションを使用しているか、およびOAAMポリシーがそのアプリケーションに対して実行される範囲が識別されます。 |
|
ユーザー名 |
ユーザー名は、ログイン認証で入力した名前です。 |
|
アラート・レベル |
アラートの重大度。「高」、「中」、「低」のいずれかです。 |
|
国 |
国ID。 |
|
都道府県 |
都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。 |
|
市区町村 |
市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。 |
|
IP範囲 |
IPアドレスの範囲。 |
|
デバイスID |
デバイスのID。 |
|
エンティティ・データ |
エンティティ・データはエンティティに関連付けられている属性であり、検索用に選択された特定のトランザクション・タイプにマップされます。たとえば、「トランザクション名」に「インターネット・バンキング」を選択した場合は、BankNameという検索フィールドを追加できます。調査担当者は、これらの属性の対応する値を使用して検索を実行できます。 |
|
トランザクション・データ |
トランザクション・データには、トランザクション・タイプに関連付けられている特定の属性が含まれます。たとえば、送金ではToAccountNumberまたはFromAccountNumberです。 |
|
注意: 暗号化されたフィールドによる検索はサポートされません。暗号化されたエンティティ・フィールドおよびトランザクション・フィールドは、トランザクションの検索フィルタとして使用できず、ドロップダウンに表示されません。 |
特殊文字を入力すると、エラー・メッセージが表示されます。
フィルタを追加するには、「フィールドの追加」下矢印ボタンをクリックします。
パラメータのリストから、追加のフィルタを選択します。たとえば、「アドレス.郵便番号」です。
検索フィールドに基準を入力します。
検索演算子を使用して、テキスト・フィールドで問合せを絞り込みます。たとえば、「次と等しい」です。次に「検索」をクリックします。
検索基準に一致するトランザクションが「検索結果」表に表示されます。デフォルトでは、検索結果はセッションIDでソートされます。トランザクション名、トランザクション・ステータスおよび日付でソートできます。
トランザクション名のリンクをクリックすると、トランザクションの詳細を表示できます。トランザクション詳細ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。
関連するエンティティ・データを検索します。
行を選択し、「エクスポート」をクリックして、検索結果をスプレッドシートにエクスポートします。上限は25行です。
「グループに追加」オプションを使用して、さらにルール評価で使用できる、トランザクション、エンティティ・データおよび認証エンティティをグループに追加します。たとえば、ブラックリストに記載したアカウントや疑わしい業者などです。
エンティティ属性を使用して、そのエンティティに関連するトランザクションをすべてリストする検索を実行できます。これを行うには:
エージェント・ケース・ページで、「トランザクション」タブをクリックします。
トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択する必要があります。「トランザクション名」フィールドでトランザクション・タイプを選択します。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。
「トランザクション日」フィールドに値を入力します。これらは必須です。
特殊文字を入力すると、エラー・メッセージが表示されます。また、「終了日」を「開始日」より前にすることはできません。
トランザクション・タイプを選択した後に、エンティティ・データおよびトランザクション・データ検索フィールドを追加します。フィルタを追加するには、「フィールドの追加」下矢印ボタンをクリックします。
エンティティ・データは、検索対象として選択したトランザクション・タイプに関連するエンティティの属性です。たとえば、「トランザクション・タイプ」に「インターネット・バンキング」を選択した場合は、検索フィールドのBankNameを追加します。調査担当者は、これらの属性の対応する値を使用して検索を実行できます。
トランザクション・データには、トランザクション・タイプに関連付けられている特定の属性が含まれます。たとえば、送金ではToAccountNumberまたはFromAccountNumberです。
「フィールドの追加」リストは、選択したトランザクション・タイプによって異なります。単一トランザクション・タイプの場合、特定のトランザクションのトランザクション・データおよびエンティティ・インスタンスが、トランザクション日、IP範囲、デバイスIDなどといったデフォルトの認証エンティティとともに表示されます。
行を選択し、「エクスポート」をクリックして、検索結果をスプレッドシートにエクスポートします。上限は25行です。
「グループに追加」オプションを使用して、さらにルール評価で使用できる、トランザクション、エンティティ・データおよび認証エンティティをグループに追加します。たとえば、ブラックリストに記載したアカウントや疑わしい業者などです。
Jeffは不正調査担当者であり、OAAMによって生成されたケースを調べています。詳しい調査の結果、使用された住所が偽の住所であることがわかりました。調査担当者はこの住所を使用したすべてのトランザクションをリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。
| フィルタ | エンティティ・フィールド |
|---|---|
|
トランザクション名 |
電信送金 |
|
エンティティ |
住所 |
|
住所1 |
建物番号123 |
|
住所2 |
偽の番地 |
|
住所の市区 |
偽の市区 |
|
住所の都道府県 |
偽の都道府県 |
Jeffは不正調査担当者であり、盗難されたATMカードを使用した過去1週間のすべてのATMトランザクションを見つけて、損害を見積もる必要があります。彼は、エンティティ・フィールド属性を検索フィルタとして使用して、そのエンティティに関連するすべてのトランザクションをリストする検索を実行できます。ATMカード番号は、カード・エンティティのエンティティ・フィールドの1つです。Jeffは、ATMカード番号検索フィルタをトランザクション・タイプとともに使用して、そのATMカードを使用するすべてのトランザクションをリストします。
| フィルタ | エンティティ・フィールド |
|---|---|
|
トランザクション名 |
すべてのトランザクションを選択 |
|
エンティティ |
ATM |
|
ATMカード番号 |
xxxx xxxx xxxx 1234 |
Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。
ユーザーJohnは疑わしく、銀行の異なるアカウント番号に複数回の電信送金を行っています。調査担当者は、すべてのアカウント番号および各送金の金額を結果にリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。
| フィルタ | エンティティ・フィールド |
|---|---|
|
トランザクション名 |
電信送金 |
|
エンティティ |
カスタマ |
|
エンティティの名 |
John |
|
結果 |
|
|
トランザクション・データ |
金額 |
|
エンティティ |
アカウント |
|
トランザクション・フィールド |
宛先アカウント番号 |
エンティティ・フィールド属性を使用して、そのエンティティに関連するトランザクションをすべてリストする検索を実行できます。これを行うには:
エージェント・ケースページの「トランザクション」タブをクリックします。
トランザクション検索ページで、単一のトランザクション・タイプおよびエンティティを選択します。すべての使用可能なエンティティ・フィールドが結果として表示されます。「フィールドの追加」リストを使用して検索するフィールドを追加することもできます。
結果をフィルタするためのエンティティ属性値を入力し、「検索」をクリックします。検索結果には、トランザクション・ログが一致するエンティティ・データとともに含まれます。
単一のトランザクション・タイプが選択されている場合、エンティティ・データ(および関連するエンティティ・データ)およびトランザクション・データの両方について、検索結果をフィルタできます。
関連するエンティティ・データを検索します。
Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。
ユーザーJohnは不正の疑いがあり、銀行のこのアカウント番号1234に対して複数回の電信送金を行っています。調査担当者は、トランザクションの数および各回の送金額を判別します。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。
| フィルタ | エンティティ・フィールド |
|---|---|
|
トランザクション名 |
電信送金 |
|
トランザクション・データ |
宛先アカウント番号 - 1234 |
|
エンティティ |
カスタマ |
|
エンティティの名 |
John |
エンティティ属性を検索フィルタとして使用して、これらのトランザクション・タイプにわたってエンティティを検索できます。このシナリオは、トランザクション間において共通エンティティが共有されている場合に使用されます。
エージェント・ケースページの「トランザクション」タブをクリックします。
トランザクション検索ページで、トランザクション・タイプとして「すべて」をドロップダウンで選択します。すべての使用可能なエンティティ・フィールドが結果として表示されます。
別の検索モードを使用して続行するには、まずトランザクション・タイプを選択する必要があります。トランザクション・タイプが選択されていない場合、トランザクション・データおよびエンティティ・データは移入されません。
選択されたこれらのトランザクション・タイプにわたるエンティティのエンティティ属性フィールドおよび関連エンティティ属性フィールドを追加します。
「フィールドの追加」リストは、選択したトランザクション・タイプによって異なります。複数またはすべてのトランザクションの場合、選択されたトランザクション・タイプ間で共通のトップ・レベル・エンティティのみが、その関係とともに表示されます。
|
注意: トランザクション・データおよびエンティティ・インスタンスは表示されません。 |
結果をフィルタするためのエンティティ属性値を入力し、「検索」をクリックします。検索結果には、トランザクション・ログが一致するエンティティ・データとともに含まれます。
トランザクション名は、トランザクション・タイプおよびトランザクションIDの組合せです。たとえば、wiretransfer_12です。
トランザクション名をクリックすると、トランザクション詳細ページが開きます。トランザクション詳細ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。
|
注意: 結果で複数のトランザクションが選択された場合、「グループに追加」オプションは無効になります。 |
デフォルトでは、検索結果はセッションIDでソートされます。トランザクション名、トランザクション・ステータスおよび日付でソートすることもできます。単一セッション内の複数のトランザクションの場合、結果はセッションIDでソートされるため、隣り合った結果が自動的にグループ化されます。
アラートの表示はセッションの検索に似ています。ポインタを置くと、アラート・メッセージを発生数とともに表示できます。
|
注意: 関連エンティティ・データは検索できません。 |
関連するエンティティ・データを検索します。
検索テンプレートを結果レイアウトとともに保存して、必要に応じて再使用できます。検索テンプレートの1つをデフォルトの検索ページとして設定することもできます。
検索結果をスプレッドシートにエクスポートします。上限は25行です。
Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。詳しい調査の結果、使用されたクレジット・カードが盗難されたクレジット・カードであることがわかりました。このクレジット・カードは、ショッピング・カート、小売りE-Commerceなどの様々なトランザクションで使用された可能性があります。調査担当者は、過去1週間以内にこのクレジット・カードが使用された異なるトランザクションをすべてリストして、損害を見積もります。カード番号は、エンティティ・フィールドの1つです。調査担当者はすべてまたは複数のトランザクション・タイプを選択して、エンティティ・フィールドで検索します。
| フィルタ | 選択項目 |
|---|---|
|
トランザクション・タイプ |
すべてのトランザクションを選択 |
|
エンティティ |
クレジット・カード |
|
クレジット・カード番号 |
xxxx xxxx xxxx 1234 |
対応する詳細ページを開いて追加情報を表示するには、セッションID、ユーザー名、デバイスID、IPアドレス、ロケーションおよびアラートをクリックします。
|
注意: チェックポイントが実行されていない場合、「認証前」または「認証後」チェックポイントに-1のスコアが表示されます。 |
表5-25 セッション検索結果
最大10個のタブに、別の詳細ページから詳細ページが開きます。詳細ページのタブには、詳細ページを起動できるリンク・パラメータも含まれます。
|
注意: マルチテナントが有効になっている場合、調査担当者はOAAM管理コンソールのどこからも詳細ページにアクセスできません。 |
アラートの詳細には、メッセージ、レベル、タイプ、および他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システム、ロケールなど)との相互参照が含まれます。調査担当者はアラート詳細ページを使用して、このアラートを生成したユーザー間の関係のみではなく、このアラートの生成時に使用されていたロケールといった、役に立つ可能性のある他のデータの関係もすばやく確認できます。
あるセッションに対してトリガーおよび生成された特定のアラートを表示するには、次の手順を実行します。
「セッション」タブをクリックして、セッション検索ページを開きます。
「セッションID」フィールドにセッションIDを入力し、「アラート・メッセージ」フィールドにアラート・メッセージを入力して、「検索」をクリックすることにより、セッションを検索します。
結果表で、「アラート」列のアラートの隣にあるオレンジ色の四角をクリックして、アラート・メッセージのポップアップを表示します。
ポップアップに表示されたアラート・メッセージをクリックして、アラート詳細ページを開きます。
詳細ページを使用して、アラートの生成に関する情報、メッセージ、アラート・レベル、メッセージ・タイプおよびその他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システムおよびロケールなど)とアラートとの関係を表示します。
表5-26に、詳細ページと各ページで提供される情報のタイプをリストします。
表5-26 「アラート詳細」タブ
| 「アラート詳細」タブ | 説明 |
|---|---|
|
サマリー |
アラートに関する一般情報および現在の詳細(レベル/タイプ)を含むアラート・テンプレートを表示します。 アラートが関連付けられているアラート・グループを表示します。 |
|
ユーザー |
このアラートがトリガーされたセッションを持つユーザーを表示します。 このレポートを使用すると、ログイン・プロセス中にどのユーザーにアラートが生成されたか、およびユーザーごとのアラートの生成回数を確認できます。 |
|
デバイス |
このアラートがトリガーされたセッションに含まれていたデバイスを表示します。 このレポートを使用すると、ログイン・プロセス中にどのデバイスにアラートが生成されたか、およびデバイスごとのアラートの生成回数を確認できます。 |
|
ロケーション |
このアラートがトリガーされたセッションに含まれていたロケーションを表示します。 このレポートを使用すると、ログイン・プロセス中にどのロケーションにアラートが生成されたか、およびロケーションごとのアラートの生成回数を確認できます。 |
|
セッション |
このアラートがトリガーされたセッションを表示します。 |
|
フィンガープリント・データ |
アラートが生成されたログイン・プロセスで作成されたフィンガープリントを表示します。 |
トランザクション検索ページで「検索」をクリックすると、基準に一致するトランザクションが結果表に表示されます。
表5-27に、トランザクション検索結果の列をまとめます。
表5-27 トランザクション検索結果
| データ | 定義 |
|---|---|
|
トランザクション・タイプ |
トランザクションのタイプ。トランザクション検索結果でトランザクション名のリンクをクリックすると、そのトランザクション・インスタンスに関する詳細タブが開きます。タブにはトランザクションおよびエンティティ・データに加え、セッション・データが含まれています。このフィールドでは、特定のトランザクションのトランザクション詳細ページへのリンクが提供されます。 |
|
トランザクションID |
トランザクションのID。このフィールドでは、特定のトランザクションのトランザクション詳細ページへのリンクが提供されます。 |
|
トランザクション・ステータス |
トランザクションのステータス。 |
|
アラート |
トランザクション・インスタンスのアラート。アラートのリンクをクリックすると、アラート詳細ページへのリンクを含むアラート・サマリー・ポップが開きます。 |
|
トランザクション日 |
トランザクションが発生した日付。 |
|
セッションID |
ユーザーのセッションID。セッションIDのリンクをクリックすると、「セッション詳細」タブが開きます。 |
検索結果でトランザクション・タイプのリンクをクリックすると、トランザクションの詳細を表示できます。トランザクション詳細ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。
デフォルトでは、検索結果はセッションIDでソートされます。トランザクション・タイプ、トランザクション・ステータスおよびトランザクション日でソートすることもできます。
Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。ユーザーJohnは疑わしく、銀行の異なるアカウント番号に複数回の電信送金を行っています。調査担当者は、すべてのアカウント番号および各送金の金額を結果にリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。
| フィルタ | エンティティ・フィールド |
|---|---|
|
トランザクション名 |
電信送金 |
|
エンティティ |
カスタマ |
|
エンティティの名 |
John |
|
結果 |
|
|
トランザクション・データ |
金額 |
|
エンティティ |
アカウント |
|
トランザクション・フィールド |
宛先アカウント番号 |
Jeffがいずれかの検索結果を選択してトランザクション名のリンクをクリックすると、トランザクション詳細ページが表示されます。
セッションをケースにリンクするには:
セッションを新規エージェント・ケースまたは既存のケースにリンクするには、セッションを選択し、ツールバーで「ケースへのリンク」をクリックします。
次の手順を示したダイアログが表示されます。「ケースを開いてセッションをリンクします。既存のケースを検索して選択するか、新規ケースを作成し、セッションをリンクしてください。」「新規ケースの作成」、「既存のケースを開く」および「取消」の3つのボタンが表示されます。
「新規ケースの作成」をクリックします。
詳細の入力手順を示す「ケースへのリンク」ダイアログが表示されます。ケース・タイプはエージェントであり、変更できません。
次のフィールドに詳細を入力します。
組織ID
重大度レベル: 選択項目は「低」、「中」、「高」です。
事前に作成した説明: 選択項目は、ログインできない、「質問の回答忘れ」、「不正の可能性」および「OTPオーバーライド」です。
説明
「次」をクリックします。
次のメッセージを示す別の「ケースへのリンク」ダイアログが表示されます。「次のセッションがケース<case_number>にリンクするために選択されています。このアクションのノートを入力してください。」
リンク処理の一環として、セッションをリンクした理由を説明するノートを入力します。
「事前に作成したノート」を入力します。選択項目は、「これらのセッションには不正の疑いがあります。」および「これらのセッションには企業による誤用があります。」です。
「セッションのリンク」をクリックします。「選択したセッションが正常にCase_<number>にリンクされました。」というメッセージを示すダイアログが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
ケース・ログには、リンク・アクションを実行したユーザーとともにノートが記録されます。調査担当者またはマネージャによってリンクが解除されないかぎり、これらのセッションはケースにリンクされたままになります。
セッションをリンクするには、次の手順を実行します。
ケース詳細ページで、「リンク・セッション」タブをクリックします。
「セッションのリンク」ボタンをクリックします。
調査担当者が追加するセッションを検索できる、「リンク・セッション」ダイアログが開きます。
セッションID、ユーザー名、IPアドレス、デバイスIDおよびロケーションでセッションをフィルタし、特定のログイン時間範囲を指定します。
結果から、このケースにリンクするセッションを選択し、「次」をクリックします。
1つ以上のリンクするセッションを一度に選択します。これらは、調査が必要なケースの一部であるセッションです。
ケースにリンクできるセッションを示すダイアログが表示されます。
「ノート」フィールドで、ノート・リストからノートを選択するか、セッションがリンクされる理由を記述する1から4000文字のノートをテキスト・ボックスに入力します。
「終了」をクリックします。
ケースにセッションがリンクされ、「リンク・セッション」タブに表示されます。
エンティティのグループを検証できます。たとえば、あるトランザクションで使用されたアカウント番号が疑わしいアカウント・グループに属しているかどうかを検証して、そのトランザクションをブロックする必要がある場合です。使用する条件は、「トランザクション: フィルタ条件を使用したトランザクション件数の確認」です。
調査担当者は、1つ以上のリンク・セッションを選択し、それらを詳細分析のためにMS-Excelドキュメント(XLS)としてエクスポートできます。MS-Excelドキュメントのエクスポートのみを行えます。
エクスポートできるリンク・セッションの最大数は1000に事前構成されています。制限を変更するには、次の構成可能なプロパティを編集します。
oaam.xls.case.linkedsession.export.row.upperbound=1000
詳しい調査および分析のためにリンク・セッションをエクスポートするには:
ケース詳細ページで、「リンク・セッション」タブをクリックします。
すべてのリンク・セッションがリストされたリンク・セッション・ページが開きます。
リンク・セッションを選択し、「リンク・セッションのエクスポート」をクリックします。
「ファイルの保存」を選択し、ファイルを保存するロケーションを参照して、「エクスポート」をクリックします。
次の詳細とともにセッションがエクスポートされます。
行
セッションID
リンク日
ユーザー名
デバイスID
デバイス・スコア
IPアドレス
ロケーション
トランザクション
アラート
セッション日
ノート
調査担当者が、リンク・セッションがケースとは無関係であると判断した場合、それらをそのケースからリンク解除できます。
リンク・セッションをリンク解除するには:
ケース詳細ページで、「リンク・セッション」タブをクリックします。
ツールバーで「セッションのリンク解除」をクリックします。
リンク解除することを選択したすべてのセッションがリストされた「セッションのリンク解除」ダイアログが開きます。
セッションをリンク解除する理由に関するノートを入力します。
リンク解除するリンク・セッションを選択して、「リンク解除」を押します。
セッションがケースからリンク解除されます。
サマリー、ログ・リスト、リンク・セッションを含むケース詳細を、後での参照、移植性およびオフライン調査のためにXLS形式のファイルに保存します。
ケース検索ページからケース詳細を保存するには:
「検索結果」表からケースを選択し、「XLSにエクスポート」をクリックします。
「エクスポート」ダイアログが開いたら、Excelにファイルを保存することを選択します。
「XLSにエクスポート」をクリックすることに加え、ケースのサマリー、ケースのログおよびケースのリンク・セッション・ページからケース詳細を保存することもできます。
|
注意: エクスポートするために選択できるデフォルトの行数は100行です。100行を超える行をエクスポートするために選択しようとすると、エラーが発生します。 |
この項では、調査およびフォレンジックにおけるレポートの2つの使用例について説明します。BI Publisherレポートの設定の詳細は、第24章「レポートおよび監査機能」を参照してください。
BI Publisherレポートは、チェックポイントの結果を表示するために使用できます。
チェックポイントごとの各アクションの合計数
チェックポイントごとの各アラートの合計数
チェックポイントごとのリスク・スコア範囲(0から600、601から800、801から1000)を持つセッションの合計数
ログイン分析集計レポート
たとえば、Georgeはセキュリティおよびコンプライアンス担当者です。彼は、リアルタイムではコストが高すぎて実行できないと考えられるログイン・リスク評価を、オフラインで実行するためのソリューションを構成するように依頼されました。彼は、即時利用可能な実行タスクを使用して、選択した各セッションについて、チェックポイントのログイン・チェーン全体を実行します。ロードおよび実行が完了したら、Georgeは、認証前および認証後データにおける各アクション、アラート、リスク・スコアの合計数のメトリック示す集計レポートを生成します。
たとえば、Georgeはセキュリティおよびコンプライアンス担当者です。彼は、新規ポリシーを本番環境にロール・アウトする前にテストするためのログイン・リスク評価をオフラインで実行するソリューションを構成するように依頼されています。あるポリシー構成と別のポリシー構成間における結果の違いを確認するためのテストを行う際、彼はポリシー・セットAを使用してテストを実行してから、このレポートを実行し、HTMLにエクスポートします。次に、彼はポリシー・セットBを使用して同じことを行い、2つのレポートを比較して、ポリシーの変更が予期したとおりに動作しているかどうかを確認します。
ケースの管理手順を次に示します。
ケースとは、調査担当者が調査中に収集する詳細を格納するためのコンテナです。ケースが作成されたら、そのケースを検索して詳細を表示します。
一般的なケース検索
ケースが作成されたら、そのケースを検索して詳細を表示します。
ケースを検索するには
ケース検索ページから、検索フィルタおよびフィールドを使用して検索をフィルタします。
表5-28では、ケース検索フィルタについて説明しています。
表5-28 検索フィルタ
| 検索基準 | 説明 |
|---|---|
|
組織ID |
組織のケースを検索するには、「組織ID」を選択します。不正調査担当者は、アクセス権を持つ組織のユーザーのケースのみを表示できます。不正調査担当者がアクセス権を持つ組織IDに関連付けられているエスカレーション済ケースも、それが問合せ基準に一致している場合には、検索結果に含まれます。 |
|
ユーザー名 |
エージェント・ケースの「ユーザー名」フィールドは空白です。 |
|
ユーザーID |
エージェント・ケースの「ユーザーID」フィールドは空白です。 |
|
ケースID |
特定のケースを検索するには、ケースIDを入力します。 |
|
説明 |
説明に含まれるキーワードでケースを検索するには、目的の語を入力します。説明で検索すると、説明」フィールドに一致する語が含まれるすべてのケースが表示されます。 |
|
ケース・タイプ |
ケース・タイプでケースをフィルタリングするには、「エージェント」を選択します。エージェント・ケースを操作するのは調査担当者および調査マネージャです。エージェント・ケースは特に、不正調査担当者および調査マネージャによるデータ分析およびセッションとケースの関係の特定に使用されます。 |
|
重大度レベル |
重大度レベルでケースを検索するには、「低」、「高」または「中」を選択します。重大度レベルは、このケースの重大度をケース担当に伝えるマーカーです。重大度レベルは、ケースの作成者が設定します。 |
|
ケース・ステータス |
ケース・ステータスでケースをフィルタリングするには、「新規」、「保留中」、「クローズ済」または「エスカレーション済」を選択します。 |
|
有効期限切れ |
有効期限切れかどうかでリストをフィルタリングするには、必要なオプションを選択します。 使用できるオプションは次のとおりです。
|
|
作成日 |
指定の作成日範囲内に作成されたケースを検索するには、範囲の開始日および終了日を入力します。 |
|
処置 |
処置でケースをフィルタリングするには、次のいずれかを選択します。
処置は、ケース内の問題が解決された方法を示します。ケースに処置が存在するのは、クローズされている場合のみです。 |
|
最終アクション |
ケースで実行された最終アクションに基づいて検索します。 |
|
メモ |
ログに特定のキーワードが含まれるケースを検索します。たとえば、支払拒否という語が含まれるすべてのエージェント・タイプ・ケースを検索する場合、「使用デバイスは支払拒否数に関連します」という文が含まれるノートを持つケースがケース・リストに返されます。 |
|
作成者 |
ケースを作成した調査担当者のユーザー名で検索します。 |
|
現在の所有者 |
このケースを現在使用している(最終アクションを実行した)調査担当者のユーザー名で検索します。 |
「検索」をクリックします。
ケースが検索されたら、「ケースID」をクリックしてケース詳細を表示します。
特定のケースが見つかった場合、複数の異なるタスクを実行するオプションを使用できます。この点についてはこの章で説明します。
検索テンプレートを結果レイアウトとともに保存して、必要に応じて再使用するには、「保存」をクリックします。検索テンプレートの1つをデフォルトの検索ページとして設定することもできます。
|
注意: マルチテナントが有効になっている場合、検索結果には、CSRがアクセス権を持っている組織に属するユーザーのケースのうち、検索基準に一致するものがすべて表示されます。ユーザーなしのケースの場合、ケース所有者の組織IDが調査担当者のアクセス権限リストに含まれており、ケースが検索基準に一致する場合に、ケースが結果セットに含まれます。 |
処理する自動生成されたケースの検索
自動生成されたケースから調査を実行する場合は、手始めに新しく自動生成されたケースを検索します。
処理する自動生成されたケースを検索するには、次の手順を実行します。
ケース検索ページから、最新の時間ですべてのエージェント・ケースをフィルタし、「ケース・ステータス」フィールドで「新規」を選択します。次に「検索」をクリックします。
たとえば、過去2時間に作成された自動生成ケースを検索するには、次のように選択します。
結果表には「ケースID」列が含まれており、これは「ケースID」列ヘッダーをクリックして昇順または降順でソートできます。その隣にある上矢印および下矢印は、データの現在の順序を示します。「ケースID」列ヘッダーをクリックして、結果を昇順でフィルタします。最小のケースID番号が最も古いものです。
ケースIDをクリックしてケースを開きます。
「新規」ステータスを持つケースに調査担当者がアクセスして処理を開始すると、ステータスが自動的に「保留中」に変わり、「現在の所有者」が調査担当者になります。
ケース詳細ページでは、現在の所有者およびケース・ステータスに関する情報を提供します。
他の調査担当者は、このケースが現在使用中であると判別できるようになります(ケースに所有者が設定され、ステータスが「新規」ではなく「保留中」であるため)。調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。
エスカレーション済ケースの検索
エスカレーション済ケースから調査を実行する場合は、手始めに保留中のエスカレーション済ケースを検索します。
処理するケースを検索するには、次の手順を実行します。
ケース検索ページから、時間ですべてのエージェント・ケースをフィルタし、「ケース・ステータス」フィールドで「エスカレーション済」を選択します。「ユーザー名」フィールドでユーザー名を指定できます。次に「検索」をクリックします。
たとえば、昨日エスカレーションされたsmithのケースを検索するには、次のように選択します。
結果表には「ケースID」列が含まれており、これは「ケースID」列ヘッダーをクリックして昇順または降順でソートできます。その隣にある上矢印および下矢印は、データの現在の順序を示します。「ケースID」列ヘッダーをクリックして、結果を昇順でフィルタします。最小のケースID番号が最も古いものです。
ケースIDをクリックしてケースを開きます。
「新規」ステータスを持つケースに調査担当者がアクセスして処理を開始すると、ステータスが自動的に「保留中」に変わり、「現在の所有者」が調査担当者になります。
ケース詳細ページでは、現在の所有者およびケース・ステータスに関する情報を提供します。
他の調査担当者は、このケースが現在使用中であると判別できるようになります(ケースに所有者が設定され、ステータスが「新規」ではなく「保留中」であるため)。調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。
作成者による検索
過去n時間に特定の調査担当者によって作成されたすべてのエージェント・タイプ・ケースを検索できます。
ケース検索ページから、時間ですべてのエージェント・ケースをフィルタします。
「作成者」フィールドに調査担当者の名前を入力します。次に「検索」をクリックします。
そのユーザーによって手動で作成されたすべてのケースのリストが表示されます。
実行されたアクションによるケースの検索
調査担当者は、ケースで実行されたアクションに基づいて、CSRケースおよびエージェント・ケースの両方を検索できます。
例: 昨日、jsmithはカスタマ・サービスに電話をかけ、自分のアカウントからお金が失われていることを伝えました。CSRはケースをエスカレーションし、jsmithに24時間以内に連絡することを伝えました。36時間後、jsmithは再度電話をかけて、連絡がない理由を尋ねます。調査担当者は、jsmithに対して昨日エスカレーションされたケースを表示する必要があります。彼は、「エスカレーション」アクションを含むjsmithのケースおよび期限超過していないケースを検索します。
ケース検索ページの「ケース・タイプ」フィールドで「エージェント」を選択します。
「ユーザー名」フィールドにjsmithと入力します。
ケース・タイプとして「エスカレーション済」を選択します。
そのユーザーによって手動で作成されたすべてのケースのリストが表示されます。
「過去24時間」でエスカレーション済ケースをフィルタし、「検索」をクリックします。
「検索結果」表に、jsmithのエスカレーション済ケースが表示されます。
ケース・ステータスによるケースの検索
エージェント・ケースの検索ページには、調査担当者が検索するケース・ステータス用のフィールドがあります。ケース・ステータスは、ケースの現在の状態です。これにより調査担当者は、処理するケースを検索するときに、調査が新規、保留中、クローズ済またはエスカレーション済のいずれであるのかを判別できます。表5-29に、ケースに使用されるステータス値を示します。
表5-29 ケース・ステータス
| ステータス | 定義 |
|---|---|
|
新規ケースとは、作成されているが、まだ処理されていないケースです。これはケースの作成時のステータスです。ケースは、構成可能なアクションによって作成された(自動生成された)場合に新規になります。 |
|
|
調査担当者が使用中の調査は保留中になります。まだ解決されていないケースのステータスです。手動で作成されたケースは、作成時に保留中になります。 |
|
|
クローズ済ケースとは、問題が解決されているため、それ以上の調査を必要としないケースのことです。クローズ済ケースには、そのケースでどのように問題が解決されたかを記述する処置が含まれます。ケースに処置が存在するのは、クローズされている場合のみです。たとえば、不正が特定された場合、不正調査担当者は調査結果を記録し、ケースに関連する高リスク・エンティティをブラックリストに記載して、処置とともにケースを閉じます。 |
|
|
エスカレーション済 |
エスカレーション済ケースとは、カスタマ・サービス・ケースから発生するケースです。ケース内の特定のユーザーに関連する疑わしいアクティビティがある場合、CSRは調査担当者に確認してもらうためにCSRケースを送信します。たとえば、CSRマネージャがCSRケースをエスカレーションします。カスタマ固有のセキュリティに関する問題を専門とする調査担当者が、「エスカレーション済」ケース・ステータスを持つすべてのケースを検索します。 |
処置によるケースの検索
調査担当マネージャは、確認済の不正の処置を持つすべてのエージェント・タイプ・ケースを検索します。
ケース検索ページの「ケース・タイプ」フィールドで「エージェント」を選択します。
「処置」フィールドで「確認済不正」を選択し、「検索」をクリックします。
調査担当者によって不正と確認されたすべてのケースのリストが「検索結果」表に示されます。
ケースの作成手順を次に示します。
新規エージェント・ケースは、疑いのあるアクティビティまたは不正なシナリオが検出され、調査が必要な場合に作成されます。エージェント・タイプ・ケースを直接作成できるのは調査担当者のみです。エージェント・タイプ・ケースの作成では、ユーザー情報は表示されず、また必要ありません。エージェント・ケースを作成するために入力する必要があるのは、組織ID、重大度レベルおよび説明のみです。
調査担当者は、一度に1つのエージェント・ケースを開いて処理できます。オープン・ケースを含むタブを複数開くことはできません。別のケースを開いた状態にしたままでエージェント・ケースを作成しようとすると、現在のケース・ワークフローが新規ケース・ワークフローに置き換えられるというメッセージを示す警告が表示されます。
すべてのフィールドに入力されるまで、「作成」ボタンは無効になっています。*(アスタリスク)は必須フィールドを示します。無効なパラメータが入力されると、エラー・メッセージが表示され、新規ケースは作成されません。
エージェント・ケースを作成するには:
ケース検索ページで、「新規ケース」をクリックします。
調査担当者がこのケースを作成していることが、ログインからすでにシステムに通知されているため、ケース・タイプとして「エージェント」が指定された「ケースの作成」ダイアログが表示されます。ケース・タイプは変更できません。
アクセス権のある組織IDのリストが示されます。リストから組織IDを1つ選択できます。必要に応じて、異なる組織IDのケースを後から作成できます。
|
注意: エージェント・ケースはユーザーなしのケースであるため、ユーザー名またはユーザーIDを入力する必要はありません。 |
「重大度レベル」リストから重大度レベルを選択します。
使用可能な重大度レベルは、「高」、「中」および「低」です。
「説明」テキスト・ボックスにケースの説明を入力するか、「説明」リストから説明を選択するか、またはその両方を行います。
「説明」テキスト・ボックスには英数字および特殊文字を含めることができますが、4000文字以下である必要があります。「事前に作成した説明」リストから、一度に1つずつ、任意の数の説明を選択します。事前に作成した説明が選択されると、「説明」テキスト・ボックスに説明が自動的に追加されます。リストから選択された各説明は、前の説明に追加されます。
「説明」は必須フィールドです。説明が入力されるまで、「作成」ボタンは無効になっています。
「作成」をクリックします。
ケースが作成され、新規ケースのケース詳細ページが開きます。ケース詳細ページには、ケースのステータスとして「保留中」が示されます。調査担当者が「作成者」および「現在の所有者」フィールドに示されます。ケースは手動で作成されたエージェント・ケースであるため、ケース詳細にはユーザー詳細は示されません。新規エージェント・ケースには、リンク・セッションは含まれません。ログを表示すると、「ケースの作成」がアクションとして表示されます。図5-21にケースが最初に手動で作成されたときのケース詳細ページを示します。
手動によるエージェント・ケースの作成例
調査担当者は、1st Bankという組織IDに対してエージェント・タイプ・ケースを作成します。他のタイプのケース(CSRケース)は作成できません。「組織ID」は必須フィールドです。新規エージェント・ケースには、リンク・セッションは含まれません。エージェント・ケースはどのユーザーにもリンクされていないため、ケースを作成するためにユーザー情報を入力する必要はありません。
既存のエージェント・ケースと類似または同様の新規ケースを作成するには:
ケース検索ページの「検索結果」表で、ケースの隣にあるチェック・ボックスを選択して、エージェント・ケースを選択します。
「検索結果」表で複数の行が選択された場合、「類似作成」ボタンは無効になります。
元のケースから、組織ID、重大度レベルおよび説明が事前移入された「ケースの類似作成」ダイアログが表示されます。
これらのフィールドを編集します。
すべてのフィールドに入力してください。
必須フィールドが入力されるまで、「作成」ボタンは無効になっています。
「作成」をクリックします。
変更を取消してケース検索ページに戻るには、「取消」をクリックします。
「作成」をクリックして新規ケースを作成します。
元のケースのデータおよび変更内容を含む新規エージェント・ケースが作成され、新規ケースのケース詳細ページが開きます。エスカレーション済エージェント・ケースと同様に作成された新規エージェント・ケースには、ユーザー・データは含まれません。ケース・ステータスは「保留中」です。
調査担当者は、ケースを開いていない場合に、「検索して選択」および「新規ケースの作成」リンクを使用して、ケースを選択するか新規ケースを作成できます。「ケースを検索して選択」リンクにより、ケース検索ページが開きます。「新規ケースの作成」により、ケースを作成できる「ケースの作成」ダイアログが開きます。
エージェント・ケースが自動的に作成されるようにアクションを構成するには、次のことを行う必要があります。
create_agent_caseという名前のカスタム・ルール・アクションを作成します。
適切なチェックポイントのポリシーに、必要なルール条件を持つルールを追加します。指定した条件が満たされるたびに、アクションcreate_agent_caseをトリガーして戻すようにこれを構成します。たとえば、疑いのあるアクティビティが発生するたびに、「エージェント・ケースの作成」アクションがトリガーされます。
手順は次のとおりです。
アクション・テンプレートCaseCreationActionのアクション・インスタンスを作成し、これをチェックポイントに関連付けます。
セキュリティ管理者としてログインします。
ナビゲーション・ツリーで、「構成可能なアクション」を開きます。
「アクション・インスタンス」をダブルクリックします。
アクション・インスタンス検索ページが表示されます。
アクション・インスタンス検索ページから、「新規アクション・インスタンス」をクリックします。
「エージェント・ケースの作成」アクションを作成するための詳細を入力できる、新規アクション・インスタンス・ページが表示されます。
「アクション・テンプレートの選択」をクリックします。
CaseCreationActionを選択します。構成可能なアクションのJavaクラス名は次のとおりです。
com.bharosa.vcrypt.tracker.dynamicactions.impl.CaseCreationAction
このCreateCaseAction構成可能アクションは、即時利用可能な状態で提供されます。
「名前」フィールドに、「エージェント・ケースの作成」と入力します。
「説明」フィールドに、「エージェント・ケースの作成」アクションの説明を入力します。
「ログ・レベル」フィールドにログ・レベルを入力します。
ログ・レベルは、インスタンスの実行ステータスを記録する必要があるかどうかを示します。
「無効化」にするとロギングがオフになります。
「有効化」にするとロギングがオンになります。
「エラーの場合にログ」にすると、エラーが発生した場合にロギングがオンになります。
エラーがある場合にのみ、実行ステータスがログに記録されます。それ以外の場合は、インスタンスのトリガーはログに記録されません。
「エージェント・ケースの作成」アクションのパラメータを次のように設定します。
「ケース・タイプ」の値として2 (エージェント・タイプ)を入力します。
「重大度」に2 (中)または3 (高)を入力します。
ケースの説明を入力します。たとえば、失敗したログインです。
「ケース作成者のユーザーID」パラメータにユーザーIDを入力します。ユーザーIDにケースを作成するための適切なロールおよびアクセス権限があることを確認してください。この例では、ケース作成者は動的です。
アクションをいつトリガーするかに関するトリガー基準を設定します。
基準はスコアまたはアクション(またはその両方)である必要があります。これらは、選択されたチェックポイントの値に対して比較されます。
評価されたアクションが指定されたアクションに一致する場合、構成可能なアクションがトリガーされます。
指定された範囲のスコアがルール・エンジンから返された場合、構成可能なアクションが実行されます。
たとえば、アクション・タイプがブロックの場合に必ずケースを作成するようにする場合、Oracle Adaptive Access Managerではポリシーにブロックのアクションが含まれる場合に必ずケースを作成します。スコアが500より大きい場合に必ずケースを作成するようにする場合、Oracle Adaptive Access Managerではその特定のセッション内でスコアが500より大きい場合にケースを作成します。
アクションおよびスコアの両方が指定された場合は、両方の基準がルール・エンジンの結果に一致する場合にのみ、構成可能なアクションが実行されます。
アクションのcreate_agent_caseを入力します。
アクション・インスタンスを保存します。
「適用」をクリックします。
アクション・インスタンスが正常に作成されると、確認が表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
トリガー基準が満たされている場合、構成可能なアクションによってエージェント・ケースが自動的に作成されます。
ケースのステータスは「新規」です。
新規エージェント・ケースには、アクション・インスタンス・パラメータに基づく自動リンク・セッションが含まれます。
調査担当者がケースを開くと、ケースのステータスが「保留中」に変わります。現在の所有者は調査担当者であり、「作成者」にはケース作成者のユーザーIDが表示されます。このケースのユーザー詳細も表示されます。
チェックポイント、スコア範囲、実行タイプなどのアクション・インスタンス・パラメータに対応するセッションは、構成可能なアクションによって作成されたエージェント・ケースに自動リンクされます。
複数のケースをクローズするには:
調査担当者としてログインします。ケース検索ページが表示されます。
「検索結果」表で、閉じるケースを選択します。
「バルク編集」ボタンをクリックします。
ステータスとして「クローズ済」を選択します。
処置を選択し、ノートを入力します。
「保存」をクリックします。
「OK」をクリックして、確認ダイアログを閉じます。
ケースが作成されると、その重要度を示し、管理者がケースをフィルタできるようにするための重大度レベルがそのケースに割り当てられます。重大度レベルはケース詳細ページに表示されます。
ケース詳細ページで、「その他のアクション」をクリックし、「重大度の変更」を選択します。
「重大度の変更」ダイアログが表示されます。
「重大度」リストで、必要な重大度レベルを選択します。
使用可能な重大度レベルは、「高」、「中」および「低」です。カスタマが不正を疑っている場合、割り当てる重大度レベルは「高」です。カスタマが異なるイメージを希望している場合、割り当てる重大度レベルは「低」です。必要に応じて、ケースの重大度レベルをエスカレーションまたはエスカレーション解除します。
「ノート」リストで、必要なノートのタイプを選択します。
必要に応じてノートを編集し、実行するアクションに関する情報を追加します。
「送信」をクリックします。
ケースの重大度がケース・ログに保存されます。
「OK」をクリックして、確認ダイアログを閉じます。
ケースのステータスは手動または自動で変更できます。
シナリオでは、ケース・ステータスを手動で変更する方法を示しています。
手動でケースのステータスを「新規」に変更するには:
ケース詳細ページで、「その他のアクション」をクリックし、「ステータスの変更」を選択します。
「ステータスの変更」ダイアログが表示されます。
「ステータス」リストで、「新規」を選択します。
問題を記述するノートを入力します。
既存のノートから選択するか、新規ノートを入力するか、またはその両方を行います。
選択する既存のノートは次のとおりです。
マネージャの確認
その他
「送信」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックします。
エージェント・ケースをバルク編集できるのは調査マネージャのみです。
調査マネージャとしてログインします。ケース検索ページが表示されます。
必要なケースを選択します。
「バルク編集」をクリックします。
|
注意: 即時利用可能なOAAMロールについては、「バルク編集」ボタンは調査担当者ロールでは無効になっており、調査マネージャ・ロールでは有効になっています。 |
必要に応じてケース設定を変更し、ノートを追加します。
「閉じる」アクションは、重大度にかかわらず許可されます。
重大度はステータスにかかわらず編集可能です。また、ケースの重大度も、ケースの「クローズ済」ステータスにかかわらず変更できます。
「OK」をクリックして、バルク編集を実行します。
バルク編集操作が正常に実行されたというメッセージを示す確認ダイアログが表示されます。ケースを閉じるときに、バルク編集操作時にすでに「クローズ済」ステータスになっていたエージェント・ケースがある場合は、バルク・クローズ・アクションを実行するためにはエージェント・ケースが「新規」または「保留中」ステータスになっている必要があることを示すメッセージが表示されます。
「OK」をクリックしてダイアログ・ボックスを閉じます。
検索をリフレッシュすると、これらのケースのステータスが結果に表示されます。
検索ページの「最終ケース・アクション」は、バルク編集の直後には更新されません。これは、検索ページを再度起動したときに更新されます。
使用例: ZeekはDollar Bankの不正調査マネージャです。彼は、シフトの始めに必ず期限超過のケースを検索します。彼はケースのリストをXLSでエクスポートし、これを自分のチームに電子メールでアラートとして送信します。Zeekは、すでに解決されているが、誤って開いた状態のままにされていた期限超過のケースを見つけた場合、それらをすべて選択し、解決済のステータスおよびノートとともに閉じます。
マルチテナント・アクセス制御では、各組織のOAAM管理コンソールへのアクセスを処理し、複数テナントの不正調査担当者およびCSRに異なる使用環境が提供されるようにします。ビジネスでは、マルチテナント・アクセス制御を使用して、不正調査担当者によるアクセスを特定の組織IDに限定できます。
たとえば、Second Bankは世界中に何百人もの不正調査担当者を抱える国際銀行です。Second Bankは、コンシューマ・バンキング・アプリケーションおよびビジネス・バンキング・アプリケーションの両方を保護するために、OAAMをデプロイしました。銀行は、コンシューマ・バンキングに関する問題を調査する不正調査担当者とビジネス・バンキングに関する問題のみを調査する不正調査担当者の2つの組織にチームを分割します。マルチテナント・アクセス制御が有効になっている場合、Second Bankでは、これらの不正調査担当者の組織それぞれに表示されるすべてのセッション、ポリシーおよびその他のデータを厳密に制御できます。コンシューマ・バンキングの不正調査担当者がケースを検索、表示、作成および編集する場合は、コンシューマ・バンキングに関連するデータのみが表示されます。同様に、ビジネス・バンキングの不正調査担当者には、ビジネス・バンキングのデータのみが表示されます。
表5-30に、OAAMにおける、マルチテナント・アクセス制御による調査担当者の使用環境をまとめます。
表5-30 マルチテナントによる不正調査担当者の使用環境
| タスク | 不正調査担当者の使用環境 |
|---|---|
|
CSRケースの作成 |
該当なし |
|
エージェント・ケースの作成 |
不正調査担当者は、アクセス権を持っている組織のケースのみを作成できます。 |
|
ケースの検索 |
不正調査担当者は、アクセス権を持っている組織のケースを検索および表示できます。 |
|
ケース詳細 |
不正調査担当者は、アクセス権を持っている組織に属する任意のユーザーに属するケース、またはその組織IDに関連付けられているケースのケース詳細を表示できます。 |
|
ケース・アクション |
不正調査担当者は、アクセス権を持っているケースに対してケース・アクションを実行できます。 |
|
セッション検索および詳細ページ |
不正調査担当者は、マルチテナント・アクセス制御が有効になっている場合、詳細ページにアクセスできなくなります。マルチテナント・アクセス制御が無効になっており、リンクが使用可能な場合は、不正調査担当者は任意のセッション検索から詳細ページにアクセスできます。 |
|
セッションの検索 |
不正調査担当者は、アクセス権を持っている組織のユーザーに属するセッション、およびアクセス権を持っている組織に属するセッションを検索できます。 |
|
セッションのリンク |
不正調査担当者は、アクセス権を持っている組織に属するケースにセッションをリンクできます。 また、リンクするセッションの検索では、不正調査担当者はアクセス権を持っている組織のセッションのみを表示できます。 |
マルチテナント・アクセス制御は、ケース管理用のデータ・アクセスに対してのみ適用されます。つまり、マルチテナント・アクセス制御は調査担当者およびCSRロールにのみ適用されます。
ベスト・プラクティスと推奨事項を次に示します。
調査担当者は、カスタマ・サービスからエスカレーションされたか、アラートから直接示された疑わしい状況を調査します。
不正調査マネージャは、自分のチームがどのケースに注目する必要があるかを確認することをお薦めします。
不正調査マネージャは、定期的に期限超過ケースを検索して、それらのケースがいずれも保留中になっていないことを確認する必要があります。
カスタマが不正を疑っている場合、割り当てられる重大度レベルは「高」です。たとえば、カスタマが異なるイメージを希望している場合、割り当てられる重大度レベルは「低」です。ケースの重大度レベルは、必要に応じてエスカレーションまたはエスカレーション解除できます。誰でもケースの重大度を変更できます。
調査担当者は、他の調査担当者が使用中のケースを開くことはできません。
調査担当者は、エスカレーション済ケースを開いて、CSRおよびCSRマネージャが入力したノートのログを表示する必要があります。たとえば、ノートには、CSRが不正なアクティビティと疑われるものを見つけたために、CSRケースをエージェント・ケースにエスカレーションしたことが示されています。
調査担当者はタイムスタンプ列をフィルタして、最も古いケースが先頭にくるようにする必要があります。
「トランザクション: フィルタ条件を使用したトランザクション件数の確認」を使用して、エンティティのグループを確認します。たとえば、トランザクション内で使用されたアカウント番号が疑わしいアカウントのグループに属するかどうかを確認して、そのトランザクションをブロックする必要がある場合です。
