5 OAAMを使用した調査

Oracle Adaptive Access Managerには、セキュリティ・アナリストやコンプライアンス担当者が使用するための合理化された強力なフォレンジック・インタフェースが用意されています。エージェントには、調査結果および調査ワークフローの管理のためのリポジトリが用意されています。ユーザーは、容易にアラートを評価し、関連するアクセス・リクエストやトランザクションを特定して、不正や誤用を見つけることができます。セキュリティ・アナリストおよびコンプライアンス担当者は、調査を行うときにノートを記録し、疑わしいセッションをケースにリンクします。これはすべての調査結果を収集し、将来のリアルタイム・リスク分析に反映するためです。

この章の内容は次のとおりです。

• 5.1項「不正調査について」

• 5.2項「調査コンソールを使用するOAAM調査および分析の理解」

• 5.3項「調査コンソールの使用」

• 5.4項「ケースの管理」

• 5.5項「ベスト・プラクティスと推奨事項」

5.1 不正調査について

Oracle Adaptive Access Managerでは、不正や誤用を防ぐためのタスクのほとんどが自動化されています。防止は、リスクを分析し、防止措置(非常にリスクが高い状況ではアクセスのブロック、リスクが中程度の場合はKBAやOTPなどのメカニズムによるユーザーに対するチャレンジ)を取ることによって行われます。すべてのOAAMデプロイメントで、エッジ・ケース、偽陰性またはリアルタイムの禁止が不可能であるか望ましくない場合のいずれかの状況において、人による確認の方法が必要になります。これらのシナリオでは、調査担当者が各インシデントを確認し、関連するインシデントを見つけるためのフォレンジック調査を行い、将来のリスク評価において偽陽性や偽陰性が減少するような影響を及ぼすアクションを実行することが必要となります。

調査担当者が必要になるシナリオの例を次に示します。

• Jeffは、BigMartチームの不正アナリストです。彼は不正を特定するために疑わしいトランザクションを確認します。デプロイメントでは主に、ケースの手動作成および調査フローが使用されます。不正アナリストは、各調査の手始めに、重大度の高いアラートを含むトランザクションを検索します。不正が特定されたら、不正アナリストは検索を記録し、各種エンティティをブラック・リストに記載し、処置とともにケースを終了します。

• Jeffは、BigMartチームの不正アナリストです。デプロイメントでは主に、ケースの自動作成および調査フローが使用されます。アナリストは、各調査の手始めに、新しいケースを検索します。ケースが生成されたセッションを詳しく調べます。不正が特定されたら、アナリストは調査結果を記録し、各種エンティティをブラック・リストに記載し、処置とともにケースを閉じます。

• John Smithは、BigBankのカスタマ・サービスに電話をかけ、自分のアカウントからお金が失われていることを伝えます。Johnによると、先週、彼のアカウントから$129が電信送金されましたが、彼はこの送金を行っていません。SarahはBigBankのカスタマ・サービス担当(CSR)です。彼女はJohnのユーザー名jsmithを使ってケース321を開き、Johnから聞いた情報に基づいてノートを入力します。ケースのタイトルにはJohnのユーザー名が表示されるため、このケースを表示するCSRは誰でも、常にこのケースの対象ユーザーが誰なのかがわかります。Sarahはケースをエスカレーションし、24時間以内に調査担当者から連絡があることをjsmithに伝えます。MikeはBigBankセキュリティ・チームで働いています。彼は、カスタマ・サービス関連のセキュリティに関する問題の調査を担当しています。彼は「エスカレーション済」ステータスのケースを検索し、日付でフィルタします。Mikeは、CSRのSarahが新しくエスカレーションしたケースを開きます。Mikeはまず最初に、カスタマおよびユーザー固有のデータとCSRのノートを表示します。彼は、John Smithが行った、金額が$100から$200の間の電信送金トランザクションを検索します。Mikeは見つかったトランザクションを比較して、不正との共通点があるかどうかを判別します。

• Jeffは、Acme Corpのセキュリティ・アナリストです。Acmeには、デプロイメントで定義された、オンライン購入とユーザー・プロファイルを変更するトランザクションがあります。Jeffは、郵便番号が95060である住所を含むトランザクションを検索します。彼はすべてのトランザクション・タイプを選択し、address.zipcodeのフィルタを追加します。問合せを実行すると、結果に郵便番号列が表示されます。郵便番号を追加すると、残りの列の幅が調整され、使用可能な画面スペースが最適化されます。

• Jeffは、Acme Corpのセキュリティ・アナリストです。Acmeには、デプロイメントで定義された、オンライン購入とユーザー・プロファイルを変更するトランザクションがあります。Jeffは、合計金額が$500より多いE-Commerceのトランザクションを検索しています。彼はE-Commerceのトランザクション・タイプを選択し、合計金額のフィルタを追加します。「フィールドの追加」メニューには、特定のエンティティ、エンティティ・データとリンクされたエンティティ・データがすべて含まれています。問合せを実行すると、結果に合計金額列が表示されます。新しい列が追加されると、残りの列の幅が調整され、使用可能な画面スペースが最適化されます。

5.1.1 不正調査について

不正調査の目的は、不正が行われているかどうか、およびその他に関連するインシデントがないかどうかを判別するために、人間の知恵または電子的でない介入(またはその両方)が必要となるリスクの高いシナリオがセキュリティ・ポリシーによって検出された場合に、そのような状況を評価することです。不正調査担当者は、疑わしいセッションとイベント間のトランザクション・データを調査して、関連するインシデントを見つけます。OAAM調査インタフェースは、調査プロセスを簡略化および合理化するように設計されています。

5.1.2 不正調査ロールについて

調査担当者がOracle Adaptive Access Managerにアクセスし、これを使用して調査を行うには、特定の権限が付与された適切なロールを持っている必要があります。ユーザー・ロールによって、アプリケーション内でユーザーが実行できるタスクが決まります。ロールは、ユーザーが実行する作業のタイプに関連付けられます。権限も、各ロールが実行できる機能を指定するために、アプリケーション内で定義されます。ユーザーのロールおよび権限に応じて、使用できるメニューとオプションが異なります。

不正調査担当者および不正調査マネージャは、Oracle Adaptive Access Managerで提供されている標準のロールです。不正調査担当者または不正調査マネージャは、不正シナリオおよび疑わしいパターンの調査を担当します。表5-1に、不正調査担当者に関連付けられている標準の権限をまとめます。

不正調査担当者は、なんらかの理由で調査が必要であるために、CSRケースからエスカレーションされた、自動生成または手動作成のエージェント・ケースを使用して、特定の不正シナリオまたは疑わしいパターンを調査します。不正調査マネージャもケースを調査しますが、不正調査担当者は実行権限を持たないアクションも実行できます。表5-1に、不正調査担当者と不正調査マネージャの権限を並べて示します。

表5-1 不正調査ロールの権限

アクション	調査担当者の権限	調査マネージャの権限
アクション	調査担当者ロールのすべての機能	調査担当者ロールのすべての機能と特別な権限
ケースの検索	CSRケース、エスカレーション済ケースおよびエージェント・ケースの検索 オープン・ケースとクローズ済ケースの検索	CSRケース、エスカレーション済ケースおよびエージェント・ケースの検索 オープン・ケースとクローズ済ケースの検索
新規ケースの作成脚注 1	エージェント・ケースのみ	エージェント・ケースのみ
ケース詳細の表示	エスカレーション済ケースの表示 クローズ済ケースの詳細の表示	エスカレーション済ケースの表示 クローズ済ケースの詳細の表示
ケースの編集	CSRケースとエスカレーション済ケースへのノートの追加 エージェント・ケースのステータスと重大度の変更 ケースのバルク編集は不可 ケースのエスカレーション	CSRケースとエスカレーション済ケースへのノートの追加 クローズ済ケースを再度開く エージェント・ケースのステータスと重大度の変更 ケースのバルク編集 ケースのエスカレーション
セッションの検索	セッションの検索	セッションの検索
セッションのリンク	セッションのリンク	セッションのリンク
セッションのリンク解除	セッションのリンク解除	セッションのリンク解除
リンク・セッションの表示	リンク・セッションの表示	リンク・セッションの表示
グループへの追加	グループへの追加	グループへの追加
ケースへのリンク	ケースへのリンク	ケースへのリンク
すべてのエンティティおよびトランザクション・データをクリア・テキストで表示	不正調査担当者と調査マネージャは、すべてのエンティティおよびトランザクション・データをクリア・テキストで表示できます。他のロールでは、すべての暗号化されたエンティティまたはトランザクション・データ・フィールドでマスキングされたテキストが表示されます。	不正調査担当者と調査マネージャは、すべてのエンティティおよびトランザクション・データをクリア・テキストで表示できます。他のロールでは、すべての暗号化されたエンティティまたはトランザクション・データ・フィールドでマスキングされたテキストが表示されます。

^脚注 1 デフォルトでは、調査担当者と調査マネージャのみがエージェント・ケースの作成権限を持っています。調査担当者のアクセス権のプロパティはoaam.permission.creatagentcase=oaam.perm.create.case.type.agentです。CSRは、権限が付与された場合に、エージェント・ケースへのアクセス権を得ることができます。この権限の付与の詳細は、C.2.8項「エージェント・ケースへのアクセスの構成」を参照してください。

5.1.3 マルチテナント・アクセス制御について

マルチテナント・アクセス制御では、各組織のOAAM管理コンソールへのアクセスを処理し、複数テナントの不正調査担当者およびCSRに異なる使用環境が提供されるようにします。ビジネスでは、マルチテナント・アクセス制御を使用して、不正調査担当者によるアクセスを特定の組織IDに限定できます。

たとえば、Second Bankは世界中に何百人もの不正調査担当者を抱える国際銀行です。Second Bankは、コンシューマ・バンキング・アプリケーションおよびビジネス・バンキング・アプリケーションの両方を保護するために、OAAMをデプロイしました。銀行は、コンシューマ・バンキングに関する問題を調査する不正調査担当者とビジネス・バンキングに関する問題のみを調査する不正調査担当者の2つの組織にチームを分割します。マルチテナント・アクセス制御が有効になっている場合、Second Bankでは、これらの不正調査担当者の組織それぞれに表示されるすべてのセッション、ポリシーおよびその他のデータを厳密に制御できます。コンシューマ・バンキングの不正調査担当者がケースを検索、表示、作成および編集する場合は、コンシューマ・バンキングに関連するデータのみが表示されます。同様に、ビジネス・バンキングの不正調査担当者には、ビジネス・バンキングのデータのみが表示されます。

表5-2に、OAAMにおける、マルチテナント・アクセス制御による調査担当者の使用環境をまとめます。

表5-2 マルチテナントによる不正調査担当者の使用環境

タスク	不正調査担当者の使用環境
CSRケースの作成	該当なし
エージェント・ケースの作成	不正調査担当者は、アクセス権を持っている組織のケースのみを作成できます。
ケースの検索	不正調査担当者は、アクセス権を持っている組織のケースを検索および表示できます。
ケース詳細	組織IDは、不正調査担当者が現在属している組織のIDです。不正調査担当者は、アクセス権を持っている組織に属する任意のユーザーに属するケース、またはその組織IDに関連付けられているケースのケース詳細を表示できます。
ケース・アクション	不正調査担当者は、アクセス権を持っているケースに対してケース・アクションを実行できます。
セッション検索および詳細ページ	不正調査担当者は、マルチテナント・アクセス制御が有効になっている場合、詳細ページにアクセスできなくなります。マルチテナント・アクセス制御が無効になっていても、リンクが使用可能な場合は、不正調査担当者は任意のセッション検索から詳細ページにアクセスできます。
セッションの検索	不正調査担当者は、アクセス権を持っている組織のユーザーに属するセッション、およびアクセス権を持っている組織に属するセッションを検索できます。
セッションのリンク	不正調査担当者は、アクセス権を持っている組織に属するケースにセッションをリンクできます。 また、リンクするセッションの検索では、不正調査担当者はアクセス権を持っている組織のセッションのみを表示できます。

マルチテナント・アクセス制御は、ケース管理用のデータ・アクセスに対してのみ適用されます。つまり、マルチテナント・アクセス制御は調査担当者およびCSRロールにのみ適用されます。

5.1.4 エージェント・ケースについて

OAAMには、フォレンジック調査に応じたケース管理機能が用意されています。OAAMエージェント・ケースは、不正セッションおよびトランザクションの調査を管理し実行するために使用される調査結果や調査情報に関するリポジトリです。エージェント・タイプ・ケースに固有な機能の一部を次に示します。エージェント・ケースは、次の操作を実行するために使用されます。

• 調査担当者は、ケースを利用して、調査の過程で収集された情報を取得します。

• ケースは、調査のライフ・サイクルを管理するために使用されます。

• デバイス、ロケーションおよびその他のエンティティをホワイト・リストまたはブラック・リストに記載します。

• 調査結果に基づき、将来のリスク評価に反映します。

• 調査結果をスプレッドシートにエクスポートします。

5.1.5 エージェント・ケースの作成について

不正ケースを作成する決定は、そのソースから行われます。ソースの例は次のとおりです。

• 調査担当者は、指定日から連続的にセッションを監視または分析します。緊急の対応が必要な高い不正アラートを見つけると、調査担当者はエージェント・ケースを提起します。不正調査担当者は、ケースを取得し、さらに詳細な調査を開始します。不正調査担当者は、アラート、ユーザーからの複数のブロック・セッション、デバイスからの複数のブロックされたセッション、高リスク・スコアおよびその他の状況について、エージェント・ケースを作成できます。

• 構成可能なアクションにより、チェックポイント実行後に結果アクションまたはリスク・スコア(またはその両方)に基づいてトリガーされる補足アクションとしてエージェント・ケースが自動的に作成されます。

• CSRは、なんらかの理由で調査が必要な場合にケースをエスカレーションします。

5.1.5.1 手動で作成されるケース

エージェント・ケースを手動で直接作成できるのは調査担当者のみです。エージェント・ケースの作成では、ユーザー情報は表示されず、また必要ありません。エージェント・ケースを作成するために入力する必要があるのは、組織ID、名前および説明のみです。手動で作成されたエージェント・ケースは、ケースの作成時には「保留中」ステータスになっています。

5.1.5.2 自動生成ケース

自動生成ケースは、特定のルールがトリガーされたときにエージェント・ケースを作成するアクションをセキュリティ管理者が構成している場合に作成されます。つまり、特定のイベントの結果として、新しいエージェント・ケースが動的に作成されます。このエージェント・ケースには、その対象であるセッション・データが含まれます。リンク・セッションのユーザー名がケースに自動的に付加されます。調査担当者は、調査の手始めに、ステータスが「新規」であるすべてのケースを検索します。

5.1.5.3 エスカレーション済ケース

エスカレーション済ケースは、CSRが作成した特別なケースです。ケースに関連付けられている疑わしいアクティビティがある場合に、CSRは調査担当者に調査してもらうためにCSRケースを送信します。このケースにはCSRケースを作成するために使用されたユーザーの詳細情報が含まれています。エスカレーションされたケースは、エージェント・ケースとして扱われます。これはCSRには表示されなくなります。これらのケースには「エスカレーション済」ステータスが付けられており、最初にアクセスされたときに、ステータスが自動的に「保留中」に変わります。調査担当者は、調査を開始するために「エスカレーション済」ステータスを持つケースを検索し、「重大度」列の結果でフィルタして、重大度が最高のケースが先頭に表示されるようにします。エスカレーション済ケースを開き、CSRおよびCSRマネージャが入力したノートをログで確認することがベスト・プラクティスです。たとえば、ノートには、CSRが不正なアクティビティと疑われるものを見つけたために、CSRケースをエージェント・ケースにエスカレーションしたことが示されています。ログには、ケースが作成され、エスカレーションされ、アクセスされてから、ステータスが変更されたことが示されています。

「エスカレーション済」ステータスによる検索の例に、CSRマネージャがCSRケースをエスカレーションする場合があります。Mattは、カスタマ固有のセキュリティに関する問題を専門とする不正調査担当者です。彼は、「エスカレーション済」ケース・ステータスを持つすべてのケースを検索します。

エスカレーション済ケースの有効期限が切れると、期限切れフラグがそのケースに設定され、調査担当者にこのケースに対応する必要があることが通知されます。たとえば、エスカレーション済ケースが24時間に設定され、このケースが開いた状態で24時間を超えてアクセスされない場合、フラグが「有効期限切れ」に設定されます。

不正調査担当者が有効期限が切れたケースにアクセスすると、このケースは再アクティブ化され、有効期限が24時間(または構成されている時間だけ)延長されます。ケースの有効期限の構成の詳細は、C.2.7項「エージェント・ケースの有効期限動作の構成」を参照してください。

5.1.6 調査ワークフローについて

OAAMでは3つのワークフローが用意されているため、調査担当者は不正なトランザクションを容易に調査できます。調査ワークフローには、ランタイム・データを検索および比較し、関連インシデントを特定し、調査結果を取得して、将来のリスク分析に反映するためのインタフェースが含まれています。各カスタマ・デプロイメントでは通常、ビジネス・ニーズに合わせて次の3つの共通ワークフローの組合せが使用されます。

• アラート中心

• 自動生成

• エスカレーション済

調査を開始するための手順は、デプロイメントのタイプによって異なります。次の表に、調査ワークフロー・タイプごとの手順とプロセスの開始方法を示します。

表5-3 調査ワークフロー

調査フロー	説明	手順
アラート中心	デプロイメントでは主に、ケースの手動作成が使用されます。新規エージェント・ケースは、疑いのあるアクティビティまたは不正なシナリオが検出され、調査が必要な場合に作成されます。	このプロセスは、次のとおりです。 セッションおよびトランザクションにおける高アラートの検索 確認する疑わしいトランザクションの検索 トランザクションおよびエンティティ・データの表示 関連するセッションとトランザクションの識別 「フィルタ済トランザクション」ページからのトランザクションの表示 トランザクションとカスタマ詳細のパラメータの比較 エージェント・ケースへのセッションのリンクについて 不正なトランザクションで使用されたデータ要素のグループへの追加 処置とともにケースを閉じる
自動生成	デプロイでは主に、ケースの自動作成が使用されます。セキュリティ管理者は、特定のルールがトリガーされた場合にエージェント・ケースを作成するアクションを構成します。ルール(単数または複数)がトリガーされると、アクションおよびアラートの他に、ケースが自動生成されます。自動生成されたケースでは、トランザクションの確認が必要です。	このプロセスは、次のとおりです。 現在のステータスが「新規」である自動生成されたエージェント・ケースとオープン・ケースの検索 リンク・セッションの表示 トランザクション・データおよびサマリー・データなどの関連トランザクションの詳細の表示 関連するセッションとトランザクションの識別 トランザクションまたはセッション指向の結果の表示 同じトランザクションの複数インスタンスの比較 セッションをケースにリンクするトランザクションの選択 ケース・ノートの追加 「グループに追加」オプションについて 処置とともにケースを閉じる
エスカレーション済	デプロイでは、カスタマ・サービスのエスカレーション済ケースおよび調査フローが使用されます。CSRは、不正アクティビティを疑うと、調査担当者が調査できるようCSRケースをエスカレーションします。ケースはエージェント・ケースになります。このケースはカスタマ・サービス・ケースに基づくため、特定のユーザーの情報が詳細に含まれます。	新しくエスカレーションされたケースを開く ケース・ログの表示 セッションおよびトランザクション検索ページについて トランザクションおよびエンティティ・データの表示 トランザクションとカスタマ詳細のパラメータの比較 セッションをケースにリンクするトランザクションの選択 ケース・ノートの追加 処置とともにケースを閉じる

アラート中心の調査フロー

不正調査担当者は、各調査の手始めに重大度の高いアラートを含むセッションまたはトランザクションを検索し、疑わしいトランザクションを確認して不正を特定します。調査担当者は、インシデントに関係するデータを表示し、OAAMによって取得された複雑なデータ関係を使用して、関連する状況を検索します。また、データをリンクするケースを作成し、調査対象を絞り込みます。不正を特定したら、調査担当者は調査結果を記録し、エンティティをブラックリストに記載して、処置とともにケースを閉じます。

Henryは、Big MartのオンラインE-Commerce部門のセキュリティ・アナリストです。Henryは、OAAM調査インタフェースから「トランザクションの検索」ページを開きます。彼は「トランザクションの検索」ページで、「トランザクション・タイプ」に小売りE-Commerceを選択し、「アラート・レベル」に「高」を選択して、重大度が高のアラートを持つ、過去1時間以内のオンライン注文トランザクションを問い合せます。

検索結果に7件のトランザクションが返されます。「検索結果」表に、トランザクション、トランザクション・タイプ、トランザクション・ステータスおよびアラートが示されます。「検索結果」表には「トランザクション日」列も含まれており、これは昇順または降順でソートできます。Henryは「トランザクション日」列ヘッダーの下アイコンをクリックして、昇順タイムスタンプにより結果をフィルタします。トランザクション検索ページで、Henryは最初のトランザクションを選択し、その詳細を表示します。「検索結果」表で、彼が「アラート」列の高アラートの横にあるオレンジ色の四角をクリックすると、ポップアップ画面に高アラートの合計数とアラート・メッセージが表示されます。ポップアップ画面には、1つの高アラートが使用頻度の低い複数のクレジット・カードを持つデバイスというメッセージとともに表示されます。

Henryはこれを見て、「検索結果」表の「トランザクションID」をクリックし、「トランザクション詳細」ページを開きます。「トランザクション詳細」ページでは、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値といったトランザクションの詳細を表示できます。このトランザクションは疑わしいため、先週に同じクレジット・カードとデバイスを使用している他のトランザクションを検索します。ユーティリティ・パネルの「フィルタ」パネルでは、セッションおよびトランザクションに対し目的の検索を同時に実行するための簡単な方法が提供されています。彼は詳細ページから「フィルタ」パネル領域にクレジット・カード番号とデバイスIDをドラッグ・アンド・ドロップし、「時間範囲」フィールドで「週」を選択して、過去1週間に行われたトランザクションとセッションをフィルタします。ユーティリティ・パネルで「検索」ボタンをクリックしてトランザクションをフィルタし、クレジット・カードとデバイスIDに基づいて関連のあるセッションとトランザクションを特定します。

ユーティリティ・パネルの「一致するアイテムが見つかりました」セクションには、セッションもトランザクションも返されません。検索からデバイスIDを一時的に除外するために、「デバイスID」ラベルの前にあるチェック・ボックスの選択を解除し、「検索」をクリックして問合せを再度実行します。「一致するアイテムが見つかりました」セクションには、セッションもトランザクションも返されません。クレジット・カード番号のチェック・ボックスの選択を解除して検索からクレジット・カード番号を除外し、「フィルタ」パネルの「デバイスID」の前にあるチェック・ボックスを選択して、「検索」をクリックし、問合せを再度実行します。20件のトランザクションと4件のセッションが返されます。ユーティリティ・パネルを使用して、関連するセッションとトランザクションを簡単に見つけることができました。

Henryは、ユーティリティ・パネルの「一致するアイテムが見つかりました」セクションで「トランザクションの数」リンクをクリックし、デバイスIDによってフィルタされたトランザクションを表示します。「フィルタ済トランザクション」・ページに、トランザクションのリストが表示されます。Henryは、トランザクションの詳細をまとめて確認したいと思っています。「フィルタ済トランザクション」ページで「トランザクションの表示」フィルタを適用し、表示されているトランザクションの中から最初の6件を比較のために選択して、検索結果ツールバーの「比較」ボタンをクリックし、「トランザクションの比較」タブを開きます。デフォルトでは、最大10件のトランザクションを比較できます。彼はトランザクションおよびエンティティ・データを比較対照します。「連結解除」ボタンをクリックして結果を連結解除し、使用可能な画面スペースを広げます。一致の詳細を強調表示するために、「一致の強調表示」チェック・ボックスを選択し、「前」または「次」矢印をクリックして、一致するデータ要素を上から下に順に強調表示します。強調表示によって、視覚的な比較が可能になり、一致しているデータ要素を見つけることができます。表示されたデータから、各トランザクションで異なるカードを使用して、それぞれ1つの高額アイテムを購入していることがわかります。

Henryは、「トランザクションの表示」フィルタを再度使用して、次の6件を比較のために選択します。彼は、オンライン購入動作において、不正を示す異常なパターンを検出しようとしています。同じパターンが存在します。Henryは、このデバイスを監視リストに追加する必要があると判断します。

トランザクションの比較画面から、Henryはセッション・データ・リストでデバイスIDを選択し、「グループに追加」機能を使用してそれを高リスク・グループに追加します。調査担当者は、「グループに追加」を使用して、該当する管理グループにエンティティ、トランザクション・データおよびセッション要素を追加し、問題のさらに詳細な調査、予測モデルの再作成およびルールの評価に役立てることができます。該当するグループが存在しない場合は、作成できます。

次にHenryは、すべてのトランザクションを選択して、新規ケースに追加します。選択したトランザクションが行われたセッションがケースにリンクされます。セッションおよびトランザクションをケースにリンクすることにより、調査担当者は、不正の可能性がある、潜在的な調査対象のアクティビティに関する仮説を立てることができます。調査担当者は、調査に関係がある可能性のあるセッションをいくつでもリンクできます。彼は調査結果に関するノートを入力し、「確認済不正」の処置をしてケースを閉じます。クローズ済ケースとは、問題が解決されているため、それ以上の調査を必要としないケースのことです。クローズ済ケースには、そのケースでどのように問題が解決されたかを記述する処置が含まれます。

自動生成ケースの調査フロー

調査担当者は、各調査の手始めに、特定のイベントの結果として動的に作成された新規エージェント・ケースを検索します。彼は「新規」ステータスを持つすべてのケースを検索します。不正調査担当者は、最初のケースを選択します。セッションはすでにケースにリンクされているため、彼はそのケースが生成されたセッションを詳細に調査します。リンクされたセッションで、ケースおよびその他のデータを確認します。調査担当者は、インシデントに関係するデータを表示し、OAAMによって取得された複雑なデータ関係を使用して、関連する状況を検索します。不正を特定したら、調査担当者は調査結果を記録し、エンティティをブラックリストに記載して、処置とともにケースを閉じます。

セキュリティ管理者は、特定のルールがトリガーされた場合にエージェント・ケースを作成するアクションを構成します。(詳細は、第16章「構成可能なアクションの管理」を参照してください。)これらの自動生成されたケースでは、トランザクションの確認が必要です。詳細ページには、調査担当者がこのタスクを完了するために必要な情報が含まれています。自動生成されたケースのワークフローの例を次に示します。

Johnは、銀行の不正調査担当者です。Johnは、ブロックされたアクセス・リクエストの結果として動的に作成された新規エージェント・ケースを検索します。

Johnは、リスト内の自動生成されたケースの1つを開き、その処理を開始します。ケースのステータスが自動的に「新規」から「保留中」に変わり、現在のケース所有者がJohnになります。他の調査担当者が、このケースが現在使用中であることを判別できるようになります(ケースの所有者がJohnになり、ステータスが「新規」ではなく「保留中」であるため)。ケースcase_numberが自動的に作成されたときにブロックされたセッションがそのケースにリンクされたため、すべてのセッション・データが取得されて確認できるようになっています。これには、そのセッションでトリガーされた一連のアラートがすべて含まれます。Johnは、5つの異なるアラートがトリガーされたセッションを確認します。Johnは、アラート・メッセージを読んで、この状況で何が発生したのかを容易に理解できます。匿名プロキシであることがわかっているIPからアクセスが試みられたために、高アラートが生成されたことがわかります。匿名プロキシは本当の地理的位置を隠すために犯罪者によって使用されることが多いため、匿名プロキシが使用されている間、銀行のセキュリティ・ポリシーによってバンキングが制限されます。

JohnはこのIPアドレスをクリックして、さらに調査するためにロケーションの詳細を確認します。最も重大度の高いアラートは、IPアドレス(匿名プロキシ)に関するものであることがわかります。これによって、隣のユーザー・インタフェース・タブにIPアドレス詳細ページが開きます。Johnは、「ユーザー」タブを選択し、この高リスクIPアドレスから利用しているユーザー・アカウントを確認します。このロケーションから行われているアクティビティに関与している可能性のある銀行ユーザーが4人いることがわかります。

JohnはIP詳細ページの「セッション」タブをクリックし、このIPアドレスからのセッションをリストします。

彼はすべてのセッションを選択して、作業中のケースcase_numberにリンクします。このようにして、検出したデータと、これらのアクションを実行する理由に関するノートを収集します。このケースでは、すべてのセッションがブロックされていますが、ブロックされていないセッションがある場合には、さらに追跡調査できるようそれらのセッションをケースにリンクすることが非常に有用です(詳細ページのデータを相互参照できない場合、そのような状況を検出できない可能性があるため)。

これで、リンクされたセッションのデータがすべて、ケースcase_numberに取得されました。Johnは、これらのブロックされたアクセス試行で同じデバイスdevice_numberが使用されていたことを確認しました。

Johnはデバイスdevice_numberをクリックして、「デバイス詳細」ページを開きます。「デバイス詳細」で調査担当者は、このデバイスのデータの関係およびセッションも表示できるほか、デバイス自体のフィンガープリント処理の詳細も表示できます。たとえば、使用されたブラウザのロケールです。

Johnは「アラート」タブを開き、アラートのタイプおよびこのデバイスに関連してアクティビティからそれぞれ生成されたアラートの頻度を表示します。たとえば、アノニマイザ・アラートの集計件数は4件であることを表示できます。

Johnはさらに、関連する4つのカスタマ・アカウント所有者に電話をかけて、彼らがこれらのブロックされた試行を行っていないことを確認します。このインシデントについて十分な調査を行ったと考え、不正を確認したので、Johnはこのケースを閉じ、次のインシデントに進むことができます。ケースを閉じる前に、Johnはリンク・セッションをスプレッドシートにエクスポートします。

Johnは、このデバイスは不正なアクセス試行でのみ使用されていると確信したため、このデバイスをブラックリストに記載する必要があると判断します。Johnは、詳細ページから直接デバイスを「制限付きデバイス」グループに追加します。これによって、このデバイスは、他のセッション・データが有効であるように見え、他にトリガーされたルールがなくても、オンライン・バンキングへのアクセスに使用できなくなります。これは非常に重要です。不正の実行者はアプリケーションのセキュリティを何度もテストして、バイパス方法を調べることがよくあるからです。デバイスのフィンガープリントは、不正な試行間で変わらない1つのデータ・ポイントである場合があります。

Johnは、調査結果を要約したノートとともに、確認済の不正としてケースを閉じます。彼のマネージャまたは監査者は、行われたアクション、ノートおよび関与したユーザーを含む、ケース・アクティビティのすべてのログを確認できます。

ケースは「確認済不正」としてマークされているため、不正なアクセス・リクエストで検出された特定のデータの組合せが、リスク評価エンジンに自動的に取り込まれ、不正がどのようなものであるかが学習されます。これによって、将来のリスク評価の正確性が高まります。同様に、確認したアラートが不正によるものではないとわかった場合、Johnはケースを「不正ではない」とマークして閉じます。この場合にも、偽陽性を減らすように将来のリスク評価が調整されます。

エスカレーション済エージェント・ケースの調査フロー

調査担当者は、調査の手始めに、「エスカレーション済」ステータスを持つケースをすべて検索します。彼は、「重大度」列の結果をフィルタして、最も重大度の高いケースが先頭に表示されるようにします。エスカレーション済ケースを開き、CSRおよびCSRマネージャが入力したノートのログを表示します。ケース内のユーザーに基づいてセッションを検索します。調査担当者は、インシデントに関係するデータを表示し、OAAMによって取得された複雑なデータ関係を使用して、関連する状況を検索します。不正を特定したら、調査担当者は調査結果を記録し、エンティティをブラックリストに記載して、処置とともにケースを閉じます。

Mattは、カスタマ固有のセキュリティに関する問題を専門とする調査担当者です。彼は、「エスカレーション済」ケース・ステータスを持つすべてのケースを検索します。

調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。調査担当者が初めてケースにアクセスすると、ステータスが自動的に「保留中」に変わります。これによって調査担当者は、他の調査担当者がすでにそのケースを使用しているかどうかを判断できます。Mattは、エスカレーション済ケースを開きます。ステータスが自動的に「エスカレーション済」から「保留中」に変わり、現在の所有者がMattになります。エスカレーション済ケースを開き、CSRおよびCSRマネージャが入力したノートをログで確認することがベスト・プラクティスです。彼らが不正アクティビティを疑ったために、CSRケースがエージェント・ケースにエスカレーションされたことがわかります。このケースはカスタマ・サービス・ケースに基づくため、特定のユーザーの情報が詳細に含まれます。Mattはケースの詳細およびjsmithがユーザーであるというノートを確認します。彼はセッションの検索に必要となるため、ユーザーIDを書き留めます。

Mattは「リンク・セッション」タブに移動して、jsmithというユーザーIDでセッションを検索するために「リンク・セッション」を開きます。jsmithはセッションを持っているため、Mattは日付とタイムスタンプでフィルタして最新のセッションを検索します。Mattは、エスカレーションの原因となった最新のセッションを見つけようとしています。

アラート・メッセージを確認して、何が発生したのかを理解します。匿名プロキシであることがわかっているIPからアクセスが試みられたために、高アラートが生成されていました。MattはこのIPアドレスをクリックして、調査するためにロケーション・ログインの詳細を確認します。過去の他のロケーションを確認して、不正が行われた可能性があるかどうかを判別します。他にも質問があるため、彼は実際のユーザーjsmithに電話をかけて話をし、メモを取ります。納得のいく結論が出たら、Mattは処置とともにケースを閉じます。

5.1.7 ケースの所有権について

最初は、ケースを作成した調査担当者が、そのケースの現在の所有者です。別の不正調査担当者が作業するケースを開くと、そのケースの現在の所有者になります。

ケースのデータに複数の不正調査担当者がアクセスすると、エージェント・ケースが同時にアクセスされます。2人の不正エージェントが同時に1つのケースにアクセスすると、そのケースが別のエージェントによって作業されていることが警告メッセージによって2番目のエージェントに通知されます。両方のエージェントはケースにノートを追加でき、これら両方のエージェントのノートが保存されます。ノートは追加したエージェントに帰属します。2番目のエージェントが作業を続けている場合は、そのケースの所有者になります。

最初はエージェント・ケースを作成した調査担当者が現在の所有者

最初は、ケースを作成した調査担当者が、そのケースの現在の所有者です。

1. 調査担当者がシステムにログインします。

2. 調査担当者がケースを作成します。

   「ケース詳細」ページが表示されます。

   • 「ケース・ステータス」は「保留中」です。

   • 「作成者」フィールドに調査担当者が表示されます。

   • 「現在の所有者」フィールドに調査担当者が表示されます。

   • このケースはユーザーを対象に作成されたものではないため、ユーザーの詳細は表示されません。

現在ケースを使用中の調査担当者が現在の所有者

現在ケースを使用中の調査担当者が現在の所有者です。

調査担当者がケースを開くとすぐに、次の詳細が「ケース詳細」ページに表示されます。

1. 「現在の所有者」が、前の所有者からケースを開いた調査担当者に変わります。

2. 「作成者」フィールドには引き続きケースを作成した調査担当者が示されるか、ケースが自動的に生成されたことが示されます。

3. ケースのステータスは「保留中」です。

ケースをエージェント・ケースにエスカレーションしたCSRにはそのケースへのアクセス権がない

CSRはケースをエスカレーションするとすぐに、検索結果表でそのケースを表示できなくなります。

1. CSRがシステムにログインします。

2. 新しいケースを作成します。

3. ケースをエージェント・ケースにエスカレーションし、ノートを追加します。

4. ここで、CSRはそのケースの詳細を表示する権限を失います。

5. 調査担当者がケースを開くと、次のことが行われます。

   1. 「現在の所有者」が、CSRから調査担当者に変わります。

   2. 「作成者」フィールドには引き続きCSRが表示されます。

   3. ケースのステータスは「保留中」です。

ケースの同時アクセスでの所有権

1. Investigator1がログインし、ステータスが「新規」であるケースを検索します。

2. ケースが結果に表示されます。たとえば、ケースIDが132であるケースなどです。

3. Investigator2がログインし、ステータスが「新規」であるケースを検索します。

4. Investigator2も検索結果でケースID 132のケースを確認できます。

5. Investigator2がケースを開くと、ステータスが「保留中」に変わります。

6. Investigator2がこのケースの現在の所有者です。

7. Investigator1には、このケースは引き続き「新規」として結果に表示されます。

8. Investigator1がこの新しいケースを開こうとしますが、Investigator2がこのケースの現在の所有者であるというメッセージが表示され、続行するかキャンセルするかを選択できます。

9. Investigator1がキャンセルを選択した場合は、何も行われず、Investigator2が現在の所有者のままになります。

10. Investigator1が続行を選択すると、現在の所有者になり、ケースのステータスが「保留中」になります。

2人の調査担当者による1つのケースへのノートの追加

OAAMではケースへの同時書込みアクセスが可能であるため、2人の不正エージェントがそのケースにノートを追加すると、両方の不正エージェントのノートが保存されます。ノートは入力した不正エージェントに表示され、そのエージェントに帰属します。

5.1.8 調査のためのエージェント・ケースの使用について

Oracle Adaptive Access Managerのエージェント・ケースは、不正なアクティビティの調査を管理するために使用されます。エージェント・ケースは、疑わしいデータとして特定されたランタイム・データを取得し、調査ノート用にリポジトリを提供し、将来のリスク分析を向上するエンジンに調査結果をフィードバックするために作成されます。エージェント・ケースが作成された後の調査担当者の主な目的は、不正が行われているかどうかの特定を助けることです。この目的を達成するために、調査担当者は詳細ページを使用し、ページを比較して関係、パターンまたは履歴パターンを特定します。検索および詳細ページで、不正調査担当者は次の操作を実行できます。

• 個別のセッションを詳細に調べて、アラートが出される原因となった一連のイベントを特定します。

• 異なるデータ型間の複雑な関係を表示および検索します。

• 調査フローから外れずに、エンティティをホワイト・リストやブラック・リストに記載します。

  これは、リスク評価にフィードバックされます。たとえば、高リスク・デバイス・グループです。

• 調査をさらに絞り込むために、セッション・データをケースにリンクします。

不正調査担当者は、OAAMにより取得された複雑なデータ関係を簡単に利用して、インシデントに関連するデータをすばやく表示したり、関連する状況をすぐに見つけることができます。次に、そのケースが不正であるか不正でないかを判別し、処置とともにケースを閉じます。

5.1.9 ケースのクローズについて

調査が完了すると、ケースは処置とともに閉じます。処置には、ケースがどのように解決されたか、および調査結果が将来のリスク評価にどのように反映されるかの両方が要約されています。

5.1.10 エージェント・ケースのフィードバックについて

エージェント・ケースでは、クローズ済の調査結果をリスク・エンジンにフィードバックして、将来の評価の正確性を自動的に向上します。デプロイメントで予測リスク分析を利用している場合、標準のクラスタリング・モデルでは、「確認済不正」および「不正ではない」と処置されたケースに含まれているセッションが考慮されます。

たとえば、調査担当者がエージェント・ケースを作成し、複数の不正なセッションをそのケースにリンクします。その後、調査担当者は「確認済不正」の処置とともにケースを閉じます。予測モデルは「n」時間ごとに再作成され、「確認済不正」の処置をされたケースにリンクされているセッションのデータが反映されます。調査担当者は、モデルの再作成頻度を決定できます。システム内の各セッションは、不正なセッションとの類似度を確認するために比較されます。類似度が高いほど、リスクが高くなります。評価の例は、確認済の不正ケースにリンクされているすべてのセッションに基づいて、確率が50%より高いログイン・セッションが不正であるかどうかがあります。

5.2 調査コンソールを使用するOAAM調査および分析の理解

OAAM不正調査担当者は、OAAM調査インタフェースを使用してエージェント・ケースを作成したり管理できます。このインタフェースにより、不正調査担当者は次のことができます。

• セッションおよびトランザクションのランタイム・データの表示

• トランザクションの比較

• 主要なオブジェクト、ユーザーおよびエンティティのドリルダウンの実行

• エージェント・ケースの管理

• 検索または比較に使用するデータ・ポイントの簡単な追加または削除

不正調査担当者は特定の検索を行って、収集された一連のデータや情報から何かを発見したり、隠された真実を見つけて、疑わしいトランザクションを検出できます。グループに追加されたデータ要素に対し、リスク分析を実行できます。

調査インタフェースの5つの主要ページおよびパネルは次のとおりです。

• エージェント・ケースの検索

• セッション検索

• トランザクション検索

• ユーティリティ・パネル

• ケース・ノート

図5-1に、調査インタフェースの「検索結果」表とそのツール・バー、ユーティリティ・パネルおよび「ケース・ノート」を示します。変わらないタブも必ず表示されます。

図5-1 調査インタフェース

この項では、調査担当者が調査ワークフローをナビゲートするために使用する主要なコンポーネントについて説明し、特に調査を行いエージェント・ケースを処理するために必要なツールについて詳しく説明します。詳細は、次の項を参照してください。

• エージェント・ケース検索ページについて

• セッションおよびトランザクション検索ページについて

• ユーティリティ・パネルについて

• 「ケース・ノート」パネルについて

• 「トランザクションの比較」タブについて

• フィールドの追加と削除について

• 「グループに追加」オプションについて

• エージェント・ケースへのセッションのリンクについて

• エージェント・ケース・タブについて

5.2.1 エージェント・ケースの検索ページについて

エージェント・ケースの検索では、調査担当者は、基準を満たすケースとして関心を持ったケースを検索できます。「検索結果」表には、その調査担当者がアクセスできるケースのリストが、詳細表示へのリンクとともに表示されます。このページでは、次のタスクを実行できます。

• 検索基準に基づくケースへの簡単なアクセス

• 新規ケースの作成

• ケースのリストの表示

  
  

  注意: 環境がアップグレードされている場合、前のリリースのエージェント・ケースも引き続き表示されます。

  
  

たとえば、調査担当者は特定のイベントの結果として作成された新しいエージェント・ケースを動的に検索できます。

5.2.2 セッションおよびトランザクション検索ページについて

セッションおよびトランザクション検索ページでは、調査担当者はトランザクション中心の方法でOAAMランタイム・データを検索できます。日付範囲、アラート・タイプ、レベルなどデフォルトのフィルタを使用して検索できます。また、必要なフィルタを追加して構成することも可能です。構成したフィルタは後で再使用するために保存できます。

たとえば、調査担当者は調査の手始めに、過去24時間以内の、特定のアラート・レベルの小売りE-Commerceのトランザクションを検索します。

トランザクション検索では、次の機能が提供されます。

• グループに追加

• 比較

• ケースへのリンク

• Excelにエクスポート

5.2.2.1 セッション検索

セッション検索ページでは、調査担当者は様々なフィルタ基準に基づいて疑わしい可能性のあるセッションを検索できます。続いて、調査担当者は、セッションに含まれる次のような認証およびエンティティ情報に基づいて、調査が必要なセッションを判別できます。

• ユーザー情報

• ログインするためにユーザーが使用したデバイス

• ユーザーのログイン元のロケーション

• デバイスのフィンガープリントの詳細

• トリガーおよび生成されたアラート

• トランザクション

表5-3に、検索およびフィルタの基準が表示されたセッション検索ページを示します。

図5-2 セッション検索ページ

5.2.2.2 トランザクション検索

「トランザクション」検索ページでは、調査担当者は、調査において不正を特定するために確認できる重要な詳細について、トランザクションを検索およびフィルタできます。各トランザクションのデータおよびコンテキストは、暗号化されたデータ・フィールドにも使用できます。トランザクション検索を使用することにより、調査担当者は、トランザクション定義に基づいて作成された関連するトランザクション・データおよびランタイム・データを見つけ、エンティティ間の関係を表示できます。また、ユーザー・アクティビティを深く把握することにより、不正が行われた可能性を分析できます。

注意: 「トランザクションの検索」は、調査担当者または調査マネージャ・ロールのみが使用できます。

図5-3に、「トランザクションの検索」ページを示します。

図5-3 トランザクションの検索

5.2.3 ユーティリティ・パネルについて

調査ユーティリティ・パネルには、セキュリティ・アナリストやコンプライアンス担当者が調査プロセスにおいて何度も実行するような共通の操作のための永続的なインタフェースが用意されています。これは検索専用であり、OAAMワークフローのすべてのページから簡単にアクセスできます。これは、共通データに基づき、互いに関連するセッションおよびトランザクションを迅速に見つけるために使用されます。

ユーティリティ・パネルは次のもので構成されます。

• 「フィルタ・アイテム」パネル

  「フィルタ」パネルは、関連するセッションおよびトランザクションを迅速に検索するために使用されます。

• 「ケース・ノート」パネル

  調査担当者は、ユーティリティ・パネルを使用して、ケース・ノートに調査結果をいつでも取り込めます。

開いているケースがない場合、調査担当者は簡単に既存のケースを検索して開くか、パネルを使用して新規ケースを作成できます。

調査担当者は、ユーティリティ・パネルを使用して次のことを行えます。

• 共通のデータを持つセッションおよびトランザクションを迅速に特定します。

• 問合せを繰り返して、結果を拡大および縮小します。

• 検出されたセッションおよびトランザクションの合計数を表示し、調査を拡大するために詳細を確認します。

「フィルタ」パネルでは、セッションおよびトランザクションに対する目的の検索を同時に実行するための簡単な方法を提供します。調査担当者は、ケースの「リンク・セッション」タブ、セッション検索、トランザクション検索およびトランザクションの比較などの様々なページから、個別のデータ・ポイントをドラッグ・アンド・ドロップします。または、コンテキスト・メニューを右クリックして、データ・ポイントを追加することもできます。フィルタとして使用できるデータ・ポイントには、ユーザー名、デバイスID、IP、市区町村、都道府県、国、トランザクション・データおよび実質上その他すべてのランタイム・データがあります。

フィルタは簡単に追加、無効化または削除できます。問合せ結果は、指定の時間範囲内にある、アクティブ・フィルタに一致するセッションおよびトランザクションの合計数です。合計数をクリックすると、セッションまたはトランザクションのリストが表示されます。

5.2.4 「ケース・ノート」パネルについて

ユーティリティ・パネルの「ケース・ノート」領域には、現在のケースに関するすべてのノートが時間の降順で表示されます。ノートをケースに追加すると、調査担当者は、検索結果、非表示の関係または通常と異なる動作を記録および共有できます。調査担当者は、調査を続行しながら、いつでもノートを追加して「ノートの追加」をクリックすることにより、「ケース・ノート」パネルに直接ノートを追加できます。検索結果を記録する過程で、調査担当者はフィルタ基準を保存して、他の調査担当者がそのケースの関連データ・ポイントを確認できるようにすることができます。調査担当者が追加できるノートの数に制限はありません。調査担当者がさらにノートを追加する必要がある場合、パネルにはスクロール機能が備わっています。検出プロセスを時間に沿って追跡することにより、調査担当者は他の不正調査担当者と結果を共有したり、どのように結論に達したかを他の人に示すことができます。

注意: OAAMでは、2人のユーザーが1つのケースに同時にアクセスできます。2人のユーザーがいずれもケースにノートを追加すると、OAAMでは両方のユーザーのノートが保存されますが、2番目のユーザーのノートは1番目のユーザーによって追加されたものとして示されます。

5.2.5 「トランザクションの比較」タブについて

エンティティのパラメータおよびトランザクションの詳細を比較して、関係を識別できます。同じトランザクション定義タイプの複数のトランザクション検索結果を選択して、検索結果ツールバーで「比較」ボタンをクリックすると、「トランザクションの比較」タブが開きます。デフォルトでは、最大10件のトランザクションを比較できます。

トランザクションおよびエンティティのデータを比較対照できます。

一致する詳細を強調表示して焦点を当てることができます。

疑わしいトランザクションに関係する追加のデータ要素を1つずつドラッグ・アンド・ドロップし、評価が必要な他のアクティビティがあるかどうかを確認できます。

5.2.6 フィールドの追加と削除について

調査担当者は、セッションおよびトランザクション検索ページを使用して、トランザクション中心の方法でOAAMランタイム・データを検索できます。日付範囲、アラート・タイプおよびレベルといった一般的な問合せフィルタがデフォルトで表示され、その他に必要なフィルタを追加および構成できます。構成したフィルタは再使用のために保存できます。

5.2.7 「グループに追加」オプションについて

調査担当者は、「グループに追加」を使用して、該当する管理グループにエンティティ、トランザクション・データおよびセッション要素を追加し、問題の追加調査、予測モデルの再作成およびルールの評価に役立てることができます。たとえば、調査担当者があるデータ要素(クレジット・カード)が疑わしいことを見つけ、そのクレジット・カードをブラックリストに記載するとします。調査担当者は、購入で使用されたクレジット・カードを高リスクのクレジット・カード・グループに追加できます。該当するグループが存在しない場合は、作成できます。

「グループに追加」機能は、次のものに示されているすべてのデータ型で使用できます。

• リンク・セッション

• セッション検索

• セッション詳細

• トランザクションの検索

  選択したトランザクションのセッションに関連付けられているデータ型をグループに追加できます。

• トランザクション詳細

  選択したトランザクションのセッションに関連付けられているデータ型をグループに追加できます。

• トランザクションの比較

  選択したトランザクションのセッションに関連付けられているデータ型をグループに追加できます。トランザクション比較ページの「グループに追加」は、表示されているトランザクションにのみ適用されます。(たとえば、調査担当者が検索ページから比較用に4件のトランザクションを選択したが、2件のトランザクションのみが表示されるようにビューをフィルタした場合、「グループに追加」ではこの2件の表示されているトランザクションの要素のみを追加します。)

5.2.7.1 グループへのデータ追加のシナリオ

Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。詳しい調査の結果、使用されたクレジット・カードが盗難されたクレジット・カードであることがわかりました。このクレジット・カードは、ショッピング・カート、小売りE-Commerceなどの様々なトランザクションで使用された可能性があります。調査担当者は、過去1週間以内にこのクレジット・カードが使用された異なるトランザクションをすべてリストして、損害を見積もります。カード番号は、エンティティ・フィールドの1つです。調査担当者はすべてまたは複数のトランザクション・タイプを選択して、エンティティ・フィールドで検索します。

フィルタ	選択項目
トランザクション・タイプ	すべてのトランザクションを選択
エンティティ	クレジット・カード
クレジット・カード番号	xxxx xxxx xxxx 1881

トランザクション・データを検索するにあたり、Jeffはこのクレジット・カードが使用されたすべてのトランザクションを取得します。これで、トランザクションを選択して、「グループに追加」ボタンをクリックできるようになりました。グループに追加する宛先アカウント番号などのトランザクション・データを選択するためのダイアログが表示されます。ダイアログでこのフィールドに関連付けられているラジオ・ボタンを選択し、「次」をクリックします。

次のページでは、このデータをグループに追加できます。このタイプのデータを格納するグループの新規グループを作成するか、既存のグループを使用できます。

5.2.8 エージェント・ケースへのセッションのリンクについて

調査担当者は、セッションと関連するアクティビティの間に関係があると考えた場合、これらのセッションを検索して既存のケースまたは新規ケースにリンクできます。リンク・ノートおよび説明を追加します。

ケースにセッションをリンクすることにより、調査担当者は、不正の可能性がある、潜在的な調査対象のアクティビティに関する仮説を立てることができます。調査担当者は、調査に関係がある可能性のあるセッションをいくつでもリンクできます。たとえば、調査担当者は類似した不正が含まれることが判明した3つのセッションを識別できます。セッションはセッション検索から選択し、既存のケースにリンクできます。選択したトランザクションが発生したセッションがケースにリンクされます。コンソールでエージェント・ケースがオープンされている場合、ケースIDがリンク先のケースとして自動選択されます。調査担当者が値の変更を必要としているか、ケースがオープンしていない場合、調査担当者はログアウトしてから再度ログインし、「トランザクション」タブで検索ツールを使用してリンク先となる別のケースをオープンすることができます。リンク先として新しいケースを作成することもできます。

また、セッションがケースとは無関係になった場合には、このケースにすでにリンクされている1つ以上のセッションのリンクを解除することもできます。

調査担当者は、次のページからケースにセッションおよびトランザクションをリンクできます。

• セッション検索

• セッション詳細

• トランザクションの検索

• トランザクション詳細

• トランザクション比較

5.2.9 エージェント・ケース・タブについて

コンソールでは一度に1つのエージェント・ケースのみを開けます。エージェント・ケース・タブが開かれた状態で、不正調査担当者が別のケースを開こうとすると、現在のケース・ワークフローが新規ケース・ワークフローに置き換えるか質問するメッセージが表示されます。ユーティリティ・パネルをクリアするオプションもあります。

図5-4に、ケース・タブが開かれた状態で、不正調査担当者が別のケースを開こうとしたときに表示されるメッセージを示します。

図5-4 ワークフローの置換

現在のワークフローを置換することを選択し、「ユーティリティ・パネルをクリアします。」オプションを選択すると、非永続的なタブがすべて閉じられて、次の項目がリセットされます。

• エージェント・ケースの検索

• セッション検索

• トランザクション検索

• ユーティリティ・パネル

• ケース・ノート

不正調査担当者が既存の状態を維持することを選択すると、ユーティリティ・パネル、「ケース・ノート」および検索ページは現在の状態のままになります。このフローは次のようになります。

不正調査担当者が現在のワークフローを置換するか質問される

1. 不正調査担当者が別のケースを開き、検索ページ、ユーティリティ・パネルおよびケース・ノートでフィルタをリセットします。

2. 彼が不正調査担当者としてOAAM管理にログインします。

3. 彼が既存のエージェント・ケースを開くか、新規ケースを作成します。

4. 彼が高アラートなどの問合せフィルタに基づいてセッションを検索します。

5. 彼がセッションの詳細を表示します。

6. 彼がデバイスIDなどのセッション・データをユーティリティ・パネルのフィルタ・セクションにドラッグします。

7. 彼が見つかったセッションのリストを表示します。

8. 彼がケースのノートを入力します。

9. 彼が金額などの問合せフィルタに基づいてトランザクションを検索します。

10. 彼がトランザクションの詳細を表示します。

11. 彼が既存のエージェント・クラスを開くか、 「新規作成」をクリックします。

12. OAAMによって、不正調査担当者が現在のケース・ワークフローを新規ケース・ワークフローに置換するかどうかを質問するメッセージが表示されます。ユーティリティ・パネルをリセットするオプションも表示されます。

不正調査担当者は現在のワークフローを置換してユーティリティ・パネルをクリアできます。または、ワークフローを置換して、ユーティリティ・パネルは現在の状態のままにすることもできます。

不正調査担当者が現在のワークフローを置換してユーティリティ・パネルをクリアする

1. 不正調査担当者が「ユーティリティ・パネルをクリアします。」を選択し、「はい」ボタンをクリックすると、現在のケース・ワークフローが新規のケース・ワークフローに置換されます。

2. コンソールではオープン・ケースを含むタブを複数開けないため、最初のケース・タブが閉じられます。不正調査担当者は一度に1つのエージェント・ケースのみを扱うことができます。

3. 新規または既存のケース・タブが開かれます。

4. ユーティリティ・パネルの「ケース・ノート」セクションに新規または既存のケースに関するノートが表示されます。

5. ユーティリティ・パネルのフィルタ領域にはフィルタが表示されません。

6. 非永続的なタブがすべて閉じられます。

7. 「ケースの検索」、「セッションの検索」および「トランザクションの検索」タブは開いたままです。

8. 「ケースの検索」、「セッションの検索」および「トランザクションの検索」のフィルタと結果はそのユーザーのデフォルト状態にリセットされます。

不正調査担当者がワークフローを置換してユーティリティ・パネルをクリアしない

1. 不正調査担当者が「はい」をクリックして現在のケース・ワークフローを置換しますが、ユーティリティ・パネルのクリアを選択しません。

2. 最初のケース・タブが閉じられます。

3. 新規または既存のケース・タブが開かれます。

4. ユーティリティ・パネルの「ケース・ノート」セクションに新規または既存のケースに関するノートが表示されます。

5. ユーティリティ・パネルのフィルタ、「セッションの検索」および「トランザクションの検索」タブは、フィルタと結果を含めて、現在の状態のままです。

6. 非永続的なタブは開かれており、現在の状態のままです。

5.3 調査コンソールの使用

この項では、調査のために調査コンソールを使用する方法について説明します。

5.3.1 セッションおよびトランザクションにおける高アラートの検索

アラート中心の調査ワークフローで調査を実行する場合、手始めに重大度の高いアラートを含むトランザクションを検索します。セッションで生成されたすべてのアラートを表示し、アラートのメッセージを読んで、この状況で何が発生したのかを理解します。アラートが生成された理由を表示し、データ・ポイントを詳しく調べることから調査を開始します。

注意: 検索フィルタの演算子は、演算子ドロップダウン・リストに示されます。検索フィルタの演算子を使用して、調査担当者は検索結果を絞り込めます。 たとえば、「トランザクション・タイプ」を「transaction_type_value」に対し、「次と等しい」または「次と等しくない」とします。

重大度の高いアラートを含むトランザクションを検索するには、次の手順を実行します。

1. エージェント・ケース・ページで、「トランザクションの検索」タブをクリックして、トランザクション検索ページを開きます。

2. 「トランザクション・タイプ」フィールドからトランザクション・タイプを選択し、演算子ドロップダウン・リストから検索フィルタの演算子を選択します。

   トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択します。「トランザクション名」フィールドでトランザクション・タイプを選択します。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。

   
   

3. 「トランザクション日」フィールドに開始日と終了日を入力し、トランザクションを検索します。日付は必須です。デフォルトでは、日付は過去24時間に設定されています。

   特殊文字が入力された場合は、エラー・メッセージが表示されます。また、「終了日」を「開始日」より前にすることはできません。

   表5-4で、日付および時間フィールドの演算子について説明します。

   表5-4 日付および時間フィールドの演算子

   演算子	説明
   次と等しくない	指定した日付に行われなかったトランザクションのみが一致することを指定します。
   次より前	指定した日付より前のトランザクションのみが一致することを指定します。
   次より後	指定した日付より後のトランザクションのみが一致することを指定します。
   次以後	指定した日付以後のトランザクションのみが一致することを指定します。
   間	指定した日付と日付の間に行われたトランザクションのみが一致することを指定します。

   
   

4. 「アラート・レベル」に「高」を選択して、「検索」をクリックします。

   トランザクション検索ページの結果表に、重大度が高いアラートを含むトランザクションがリストされます。

5. 「トランザクション日」列ヘッダーをクリックして、結果を昇順でフィルタします。リストの先頭にあるトランザクションが最も古いものです。

6. 結果表で「アラート」列の高アラートの横にあるオレンジ色の四角をクリックし、高アラートの合計数およびアラート・メッセージをポップアップ画面に表示します。

7. アラート・メッセージのリンクをクリックして、「アラート詳細」ページを開きます。

   
   

8. 詳細ページを使用して、アラートの生成に関する情報、メッセージ、アラート・レベル、メッセージ・タイプおよびその他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システムおよびロケールなど)とアラートとの関係を表示します。

   表5-5に、詳細ページと各ページで提供される情報のタイプをリストします。

   表5-5 「アラート詳細」タブ

   「アラート詳細」タブ	説明
   サマリー	アラートに関する一般情報および現在の詳細(レベル/タイプ)を含むアラート・テンプレートを表示します。 アラートが関連付けられているアラート・グループを表示します。
   ユーザー	このアラートがトリガーされたセッションを持つユーザーを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのユーザーにアラートが生成されたか、およびユーザーごとのアラートの生成回数を確認できます。
   デバイス	このアラートがトリガーされたセッションに含まれていたデバイスを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのデバイスにアラートが生成されたか、およびデバイスごとのアラートの生成回数を確認できます。
   ロケーション	このアラートがトリガーされたセッションに含まれていたロケーションを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのロケーションにアラートが生成されたか、およびロケーションごとのアラートの生成回数を確認できます。
   セッション	このアラートがトリガーされたセッションを表示します。
   フィンガープリント・データ	アラートが生成されたログイン・プロセスで作成されたフィンガープリントを表示します。

   
   

5.3.2 確認する疑わしいトランザクションの検索

調査担当者が、合計金額、トランザクションが関連付けられているエンティティ、トランザクションID番号、セッションID番号またはその他の検索基準といった、確認が必要な疑わしいトランザクションに関する追加詳細を持っている場合には、トランザクション検索ページを使用して検索結果を絞り込めます。

トランザクションを検索するには、次の手順を実行します。

1. エージェント・ケース・ページで、「トランザクションの検索」タブをクリックします。

   表5-6に、トランザクションを検索およびフィルタするためのトランザクション・フィルタをリストします。

   表5-6 トランザクションの検索フィルタ

   フィルタ	説明
   トランザクション・タイプ	トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。「トランザクション名」フィールドは、検索をそのトランザクションに制限するための必須フィールドです。トランザクションのタイプが選択されると、検索に追加するために選択できる、対応する「トランザクション・データ」および「エンティティ・データ」フィールドがOAAM管理に移入されます。トランザクション名属性は複数選択できます。
   トランザクション日	トランザクション日は、トランザクションが送信された時点です。
   トランザクション・ステータス	トランザクション・ステータスは、トランザクションの現在の状態です。値は「成功」、「失敗」または「保留中」です。
   トランザクションID	トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。
   セッションID	セッションIDは、カスタマがトランザクションを実行する前にログインする認証セッションの識別子です。
   組織ID	組織IDは、ユーザーが所属する組織の一意の識別子です。各ユーザーは、1つの組織IDのみに属します。これによって、ユーザーがどのテナント・アプリケーションを使用しているか、およびOAAMポリシーがそのアプリケーションに対して実行される範囲が識別されます。
   ユーザー名	ユーザー名は、ログイン認証のために入力された名前です。
   アラート・レベル	アラートの重大度。「高」、「中」、「低」のいずれかです。
   国	国ID。
   都道府県	都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。
   市区町村	市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。
   IP範囲	IPアドレスの範囲。
   デバイスID	デバイス識別情報
   エンティティ・データ	エンティティ・データはエンティティに関連付けられている属性であり、検索用に選択された特定のトランザクション・タイプにマップされます。たとえば、「トランザクション名」に「インターネット・バンキング」が選択された場合は、BankNameという検索フィールドを追加します。調査担当者は、これらの属性の対応する値を使用して検索を実行できます。
   トランザクション・データ	トランザクション・データには、トランザクション・タイプに関連付けられている特定の属性が含まれます。たとえば、送金ではToAccountNumberまたはFromAccountNumberです。

   
   
   
   

   注意: 暗号化されたフィールドによる検索はサポートされません。暗号化されたエンティティ・フィールドおよびトランザクション・フィールドは、トランザクションの検索フィルタとして使用できず、ドロップダウンに表示されません。

   
   

2. 「トランザクション・タイプ」フィールドからトランザクション・タイプを選択し、演算子ドロップダウン・リストから検索フィルタの演算子を選択します。

   トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択します。「トランザクション名」フィールドでトランザクション・タイプを選択します。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。

   
   

3. 「トランザクション日」フィールドに開始日と終了日を入力し、トランザクションを検索します。日付は必須です。デフォルトでは、日付は過去24時間に設定されています。

   特殊文字が入力された場合は、エラー・メッセージが表示されます。また、「終了日」を「開始日」より前にすることはできません。

   表5-4で、日付および時間フィールドの演算子について説明します。

4. 検索フィールドに基準を入力し、検索演算子を使用して検索結果を絞り込んで、「検索」をクリックします。

   
   

   特殊文字が入力された場合は、エラー・メッセージが表示されます。

5. フィルタを追加するには、「フィールドの追加」下矢印ボタンをクリックします。

   
   

6. パラメータのリストから、追加のフィルタを選択します。たとえば、「アドレス.郵便番号」です。

7. 検索フィールドに基準を入力します。

8. 検索フィールドに基準を入力し、検索演算子を使用してテキスト・フィールド内の問合せを絞り込み、「検索」をクリックします。

   検索基準に一致するトランザクションが「検索結果」表に表示されます。デフォルトでは、検索結果はセッションIDでソートされます。トランザクション名、トランザクション・ステータスおよび日付でソートします。

   トランザクション名のリンクをクリックすると、トランザクションの詳細が表示されます。「トランザクション詳細」ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。

9. 行を選択し、「エクスポート」をクリックして、検索結果をスプレッドシートにエクスポートします。上限は25行です。

10. 「グループに追加」オプションを使用して、さらにルール評価で使用できる、トランザクション、エンティティ・データおよび認証エンティティをグループに追加します。たとえば、ブラックリストに記載したアカウントや疑わしい業者などです。

5.3.3 トランザクションおよびエンティティ・データの表示

トランザクションを見つけたら、トランザクションおよびエンティティ・データを詳細に確認して、関連するエンティティを見つけます。確認により、あるデータ要素が関連しているかどうかを判断します。「トランザクション詳細」ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。

1. 「トランザクションの検索」ページの「検索結果」表で、トランザクションのリンクをクリックします。

   
   

2. 「サマリー」セクションで、トランザクションの一般情報を表示します。

   
   

   表5-7に、「サマリー」パネルに表示されるサマリー情報の詳細を示します。

   表5-7 トランザクションのサマリー情報

   詳細	説明
   トランザクション・タイプ	トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。「トランザクション名」フィールドは、検索をそのトランザクションに制限するための必須フィールドです。トランザクションのタイプが選択されると、検索に追加するために選択できる、対応する「トランザクション・データ」および「エンティティ・データ」フィールドがOAAM管理に移入されます。トランザクション名属性は複数選択できます。
   トランザクションID	トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。
   トランザクション日	トランザクションが行われた日時。
   セッションID	ログインまたはトランザクションが行われたセッションの一意の識別子。リンクにより、調査担当者は「セッション詳細」ページに移動します。
   説明	トランザクションに関するノート。
   デバイスID	各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。
   ユーザー名	ユーザーがログインするために入力するログイン名。
   IPアドレス	通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。
   市区町村	市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。
   都道府県	都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。
   国	国ID。

   
   

3. 「トランザクション・データ」パネルでトランザクション・データ、エンティティ・インスタンスおよび関連インスタンスを表示します。

   
   

   表5-8に、「トランザクション・データ」パネルに表示されるトランザクション・データの詳細を示します。

   表5-8 「トランザクション詳細」のトランザクション・データ

   トランザクション・データ	説明
   トランザクション・タイプ	トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。「トランザクション名」フィールドは、検索をそのトランザクションに制限するための必須フィールドです。トランザクションのタイプを選択すると、検索に追加するために選択できる、対応する「トランザクション・データ」および「エンティティ・データ」フィールドがOAAM管理に移入されます。トランザクション名属性は複数選択できます。
   エンティティ	トランザクションに含まれるエンティティ。
   値	トランザクションの過程でユーザーが入力したデータ。

   
   

4. セッション・データを表示して、セッションで具体的に何が発生したのかを詳しく調べます。

   パネルに表示されるセッション・データには、次があります。

   • アラートおよびアクション

   • 最終アクション

   • 「アラート」表には、アラート・レベル、アラート・メッセージ、トリガー日などの追加情報が表示されます。

   • ルールおよびポリシー名はトリガー・ソース下でリンクされ、これによって対応する詳細ページを開くことができます。

   「セッション・データ」パネルでアラート・アクティビティを表示します。「アラート」リストには、セッション中に起動されたアラートが表示されます。「アラート履歴」リストには、起動されたアラートのアラート・レベル、アラートに関連付けられたすべてのメッセージ、アラート・タイプおよびアラート・ルールがトリガーされた日時が表示されます。

   表5-9 アラート・セッション・データ

   アラート情報	説明
   アラート・レベル	アラートの重大度。「高」、「中」、「低」のいずれかです。
   アラート・メッセージ	アラートに設定されたテキスト・メッセージ。
   アラート・タイプ	アラートのタイプ。不正、調査、情報またはその他の理由です。
   トリガー・ソース	特定のアラートを生成したルール。
   タイムスタンプ	アラートが生成された時間。

   
   

5.3.4 関連するセッションとトランザクションの識別

不正調査担当者はユーティリティ・パネルを使用して、一連のデータや情報から何かを発見したり、隠された真実を見つけることができます。トランザクションが疑わしい場合、調査担当者は「トランザクション詳細」に示されている同じデバイスID、ユーザー名、IPアドレス、市区町村、都道府県または国を含むトランザクションが他にないか検索します。トランザクションをフィルタして、データ・ポイントに基づいて関連するセッションおよびトランザクションを識別できるようにします。任意の有効なデータ・ポイントを使用して、いつでも検索を実行できます。

トランザクションをフィルタするには、次の手順を実行します。

1. セッション、セッション詳細、リンク・セッション、トランザクションの検索、トランザクション詳細および「トランザクションの比較」ページで、他のトランザクションに対するフィルタとして使用する個別のデータ・ポイントをドラッグし、そのデータ・ポイントをユーティリティ・パネルの「フィルタ・アイテム」パネルにドロップします。または、コンテキスト・メニューを使用して照合するデータ要素を選択します。

   選択したデータ・ポイントは「フィルタ・アイテム」パネルに表示されます。

2. 「フィルタ・アイテム」パネルへのデータ・ポイントのドラッグ・アンド・ドロップを続けて検索を絞り込みます。

   
   

3. 検索からデータ・ポイントを削除するには、データ・ポイントの右側にある赤いXのアイコンをクリックします。

4. 検索から一時的にデータ・ポイントを除外するには、データ・ポイント・ラベルの前にあるチェック・ボックスの選択を解除します。

5. 「時間範囲」では、一定の時間枠に行われたトランザクションおよびセッションをフィルタできます。選択肢は次のとおりです。

   • 2日

   • 1日

   • 月

   • 四半期

   • 1週間

   • 年

   
   

6. 「検索」をクリックして、一致を検索します。

   OAAMでは、「フィルタ・アイテム」パネル内の現在のデータ・ポイントに基づいて、一致するセッションおよびトランザクションを検索します。セッションおよびトランザクションの結果件数が、「フィルタ・アイテム」パネルの下部に表示されます。

   この集計は、検索基準に一致するセッションの数およびトランザクションの数を示します。たとえば、同じクレジット・カードおよびデバイスを使用するセッションおよびトランザクションです。

   
   

   注意: ユーティリティ・パネルにリストされているデータ・ポイントは、セッション間では保持されません。これは、ケースが閉じたときにクリアされます。

   
   

7. ユーティリティ・パネルにデータ・ポイントをドラッグして他のデータ・ポイントを含め、検索を絞り込みます。

8. 「検索」をクリックします。

   集計に、そのデータ要素を使用するセッションの数およびトランザクションの数が示されるようになります。たとえば、同じクレジット・カードおよびデバイスを使用するセッションおよびトランザクションです。

9. 件数をクリックして、対応するフィルタ・ページを開きます。フィルタ・ページでは、一致するトランザクションまたはセッションが「検索結果」表に示されます。

   
   

5.3.5 「フィルタ済トランザクション」ページからのトランザクションの表示

調査担当者が特定のトランザクションを確認するには、「フィルタ済トランザクション」ページにナビゲートします。

「フィルタ済トランザクション」ページを開くには、次の手順を実行します。

1. ユーティリティ・パネルの「トランザクションの数」リンクをクリックし、先に指定したデータ・ポイントによってフィルタされたトランザクションを表示します。

   表示されるページはトランザクション検索ページではなく、「フィルタ済トランザクション」ページのみであるため、複数のページを開くことができます。

   
   

2. フィルタ・ページから、アラートを表示します。

   表5-10 トランザクション詳細

   トランザクション情報	説明
   トランザクション・タイプ	実行されたトランザクションのタイプ。「トランザクション詳細」ページにリンクします。
   トランザクションID	トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。「トランザクション詳細」ページにリンクします。
   トランザクション・ステータス	トランザクションのステータス。
   アラート	トリガーされたアラート。
   トランザクション日	トランザクションが行われた日時。
   セッションID	ログインまたはトランザクションが行われたセッションの一意の識別子。リンクにより、調査担当者は「セッション詳細」ページに移動します。

   
   

3. 比較するトランザクションを選択します。

5.3.6 トランザクションとカスタマ詳細のパラメータの比較

トランザクションのパラメータおよびカスタマ詳細を比較して、関係を識別できるようにします。同じトランザクション定義タイプの複数のトランザクション検索結果を選択して、検索結果ツールバーで「比較」ボタンをクリックすると、「トランザクションの比較」タブが開きます。デフォルトでは、最大10件のトランザクションを比較できます。

選択したトランザクション間の共通のデータ要素のみをフィルタし、表示できます。デフォルトでは、共通でないデータ要素を含む、選択したトランザクションのすべてのデータ要素が比較ページに表示されます。

同じタイプの2つ以上のトランザクションを選択してその値を比較するには、次の手順を実行します。

1. ユーティリティ・パネルの「関連アイテムが見つかりました」セクションで、一致するトランザクションの数をクリックし、フィルタ済データ要素を確認します。

2. 「フィルタ済トランザクション」ページの「検索結果」表で、同じトランザクション・タイプの2つ以上のトランザクション検索行を選択し、「比較」をクリックします。

   
   

   検索結果から少なくとも2つのトランザクションを選択するまで、「比較」オプションは無効です。

   比較は、同じタイプのトランザクションに対してのみ行えます。デフォルトでは、最大10件のトランザクションを比較できます。調査担当者はフィルタを適用して、デフォルトで使用可能な10件のトランザクションの中からいくつかのトランザクションを選択して表示できます。

3. 「トランザクションの比較」タブで、トランザクションおよびエンティティのデータを比較対照します。

   
   

4. 使用可能なトランザクションの中から、フィルタを適用することで、いくつかのトランザクションを選択して表示します。

   
   

5. 一致の詳細を強調表示するには、「一致の強調表示」を選択し、「前」または「次」矢印をクリックして詳細を移動します。

   
   

6. 疑わしいトランザクションに関係する追加のデータ要素を「フィルタ・アイテム」パネルに1つずつドラッグ・アンド・ドロップし、評価が必要な他のアクティビティがあるかどうかを確認します。

「トランザクション検索」ページからトランザクションを比較することもできます。

1. 「トランザクション」タブをクリックします。

2. 「トランザクション・タイプ」フィールドで、トランザクション・タイプおよび演算子の「次と等しい」を選択します。

3. 「トランザクションID」フィールドで、カスタマがトランザクションを送信したときに作成された一意の識別子の数を入力します。

4. 別のフィールドを追加します。

5. 「トランザクションID」フィールドで、その他のトランザクションIDを入力します。

6. 「検索」をクリックします。

7. トランザクションの検索結果からトランザクションを選択し、「比較」をクリックします。

   トランザクション・タイプが小売りE-Commerceのトランザクション・データ値を比較した結果表を含む「トランザクションの比較」ページが表示されます。

8. 一致するデータを強調表示するには、「一致の強調表示」ボックスを選択します。続けて下または上矢印キーをクリックし、一度に1つずつ一致を強調表示します。

9. トランザクションを比較します。

5.3.6.1 トランザクション・データ比較のシナリオ

Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。

ユーザーJohnは疑わしく、銀行の異なるアカウント番号に複数回の電信送金を行っています。調査担当者は、すべてのアカウント番号および各送金の金額を結果にリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。

フィルタ	エンティティ・フィールド
トランザクション名	電信送金
エンティティ	カスタマ
エンティティの名	John
結果
トランザクション・データ	金額
エンティティ	アカウント
トランザクション・フィールド	宛先アカウント番号

Jeffは、タイプが同じ電信送金である2つのトランザクション検索行を選択し、「比較」ボタンをクリックします。トランザクションおよびエンティティ・データを比較する「トランザクションの比較」タブがJeffに表示されます。

5.3.7 不正なトランザクションで使用されたデータ要素のグループへの追加

トランザクションの比較パネルからグループにデータ要素を追加するには、次の手順を実行します。

1. 特定のデータ・グループにエンティティ、トランザクション・データおよびセッション要素を追加する行を選択し、「グループに追加」をクリックします。たとえば、調査担当者がtransaction1、transaction2およびtransaction3を選択し、そのアカウント番号が123、234および345であったとします。3つのアカウント番号がすべて、疑わしいアカウント・グループに追加されます。

   次の指示を示す「グループに追加」ダイアログが表示されます。「下のリストは、選択した行のすべてのデータ型のリストです。グループに追加するデータのタイプを選択してください。1度に1つのデータ型のみ選択できます。」

2. データ型を選択して「次」をクリックすると別のダイアログが開き、ここでデータ要素を追加するグループを選択するか、まずグループを作成してからデータ要素を追加できます。

   図5-5に「グループに追加」ダイアログを示します。

3. 図5-5 グループに追加するデータ型の選択

   
   

5.3.7.1 既存のグループからの選択

既存のグループを選択して選択したグループにエンティティを追加するには、次の手順を実行します。

1. 「既存のグループから選択」を選択します。

   選択したデータ型に基づいて、エンティティが属することができる、対応する使用可能なグループが表示されます。

   • たとえば、アカウント番号が選択されている場合、数値グループ・タイプが示されます。

   • たとえば、アカウント所有者名が選択されている場合、文字列グループ・タイプが示されます。

2. 「グループ名」フィールドにグループ名を入力し、「検索」をクリックします。検索を実行せずに、リストからグループを選択することもできます。

   「検索」をクリックすると、検索結果に既存のグループおよび説明がリストされます。

3. エンティティを追加するグループをリストから選択します。

   プレビューに、グループ名およびグループに関連付けられているメンバーが表示されます。関連付けられているメンバーがいない場合は、「グループにメンバーが関連付けられていません。」というメッセージが表示されます。

   既存のメンバーは、使用可能なグループの表の下にあるプレビュー領域に表示できます。既存メンバーのリストは関連があるため、調査担当者は選択したエンティティのいずれかが選択したグループのメンバーであるかどうかを判別し、そのエンティティを追加用に選択または選択解除するかどうかを決定できます。

   エンティティを同じグループに複数回追加することはできません。

4. 「次」をクリックします。

   グループに追加するデータ要素は、次の画面にリストされます。選択したグループおよび追加するデータ要素はこのページに表示されます。

5. 戻ってデータ要素を変更するには、「戻る」ボタンをクリックします。これらのデータ要素の追加に進むには、「終了」ボタンをクリックします。

   「終了」をクリックすると、「グループに追加」ダイアログが表示され、選択したグループにデバイスが正常に追加されました。というメッセージが示されます。

6. 「OK」をクリックしてダイアログ・ボックスを閉じます。

5.3.7.2 データ要素を追加する新規グループの作成

「新規グループの作成」を使用すると、グループを作成して、この新たに作成したグループにエンティティを追加できます。

1. 「新規グループの作成」を選択して、エンティティを追加する新規グループを作成するプロセスを開始します。

   図5-6 データ要素を追加する新規グループの作成

   
   

2. 「グループ名」フィールドにグループの名前を入力します。最大256文字のASCII文字または最大85文字のUTF-8文字を入力できます。

3. 「キャッシュ・ポリシー」フィールドからキャッシュ・ポリシーを選択します。選択項目は「なし」または「フル・キャッシュ」です。

4. 「説明」ボックスに説明を入力し、「次」をクリックします。最大256文字のASCII文字または最大85文字のUTF-8文字を入力できます。

5. グループに追加するデータ要素が、「グループに追加」ダイアログにリストされます。戻ってデータ要素を変更するには、「戻る」ボタンをクリックします。データ要素の追加に進むには、「終了」ボタンをクリックします。

   図5-7 新規グループへの追加

   
   

   「完了時にこのグループの詳細タブを開きます。」チェック・ボックスが選択されている場合、「終了」をクリックした後に「グループ詳細」ページが開きます。

   同じ名前を持つグループがすでに存在している場合はエラーが発生し、そうでない場合はデータベース内にグループが作成されて、同じトランザクション内でこの新規グループにエンティティが追加されます。

6. 「エンティティ」タブをクリックして、新しく作成されたグループにエンティティが追加されていることを確認します。

注意: メンバーを除くグループ定義は、インポートおよびエクスポートでき、スナップショットで使用できます。必要に応じて、メンバーを明示的にエクスポートおよびインポートする必要があります。

5.3.8 セッションをケースにリンクするトランザクションの選択

トランザクションのセッションをエージェント・ケースにリンクします。

1. トランザクションを選択し、検索結果ツール・バーで「ケースへのリンク」ボタンをクリックします。

   セッションをリンクするためのケースを開く手順を示したダイアログが表示されます。既存のケースを検索して選択するか、新規ケースを作成して、セッションをリンクします。

   調査担当者がまだケースを開いていない場合は、ケースを検索するか、新規ケースを作成できます。検索して選択するオプションでは、ケース検索ページが開きます。「新規ケースの作成」ダイアログに、ポップアップ画面で作成タスク・フローが開かれます。

2. 「既存のケースを開く」ボタンをクリックして、既存のケースを開きます。

3. 「ケースへのリンク」ダイアログで、基準を入力して「検索」をクリックします。

4. 「次」をクリックします。

   別の「ケースへのリンク」ダイアログが表示され、ケースにリンクするために選択されたセッションが示されます。この動作に関するノートを入力するための手順が示されます。

5. 状況を最も的確に記述するリスト項目を選択します。追加のコメントがある場合は入力します。

6. 「セッションのリンク」をクリックします。

7. 「ケースへのリンク」確認ダイアログで「OK」をクリックして確認します。

使用例: GaryはDollar Bankの不正調査担当者です。Garyは、処理する新規ケースを検索します。「新規」ステータスのケースをすべて検索し、期限切れまでの時間が最も短いケースが先頭にくるように表示をフィルタします。Garyは最初のケースを選択し、アラートとリンク・セッションに含まれるその他のデータを確認します。次に、北朝鮮からの他のセッションを見つけるために検索します。過去6か月間を検索すると、さらに1件のセッションが返されます。Garyはこの2番目のセッションをケースにリンクして、両方のセッションのデータに基づく関係を調査に使用できるようにします。Garyは、この2件のリンク・セッションが同じデバイスから行われていることに気付きます。Garyは過去1年間にこのデバイスから行われたその他のセッションを調べて、調査を続行します。彼はこのデバイスから行われた別のセッションが、中国からのものだったことを見つけます。このセッションもリンクします。3件のセッションはそれぞれ異なるIPアドレスを使用していました。次に、Garyは各IPアドレスからのセッションを個別に確認します。これらのセッションでは、2つのIPアドレスのみが使用されていました。中国からの3番目のIPアドレスでは、過去3か月間に178件のセッションがありました。この状況により影響を受けている可能性があるユーザーを確認するため、彼は「IP詳細」画面を開いて「ユーザー」タブを表示します。すべてのユーザーのリストがそれぞれの詳細とともに示されます。Garyはアイデンティティ管理製品を確認し、中国の連絡先情報を持つユーザーがいないかどうか、各ユーザーを調べます。誰もおらず、全員が米国本土に住むアメリカ人でした。Garyはユーザーのリストをスプレッドシートにエクスポートし、アカウントが使用されているカスタマに連絡を取っていくつか質問をします。誰も北朝鮮または中国にいたことはないことがわかったため、この会話をケース・ノートに入力します。彼らに、パスワードを変更し、チャレンジ質問をリセットするよう伝えます。また、彼らを被害者監視リスト・グループに追加し、このデバイスを高リスク監視リストに追加します。次に、Garyは確認済不正の処置をしてケースを閉じます。

「セッション」ページおよび「トランザクション」ページから、トランザクションを含むセッションをケースにリンクし、セッションのリンクに関するノートを追加するには、次の手順を実行します。

1. 疑わしいトランザクションまたはセッションを選択し、検索結果ツールバーで「ケースへのリンク」ボタンをクリックします。

   ケースにリンクするために選択されたセッションを示すダイアログが表示されます。セッションのリンクに関するノートを入力するための手順が示されます。

2. 「事前に作成したノート」ドロップダウン・リストから、状況を最も的確に表す説明を選択してノートを入力し、「ノート」ボックスに追加のコメントを入力します。

3. 「セッションのリンク」をクリックしてセッションをケースにリンクします。

   選択したセッションがケースに正常にリンクされたことを確認するダイアログが表示されます。

4. 「ケースへのリンク」確認ダイアログで「OK」をクリックして確認します。

   「ケース詳細」ページが開きます。

5.3.9 処置とともにケースを閉じる

調査担当者が状況の調査を終えて結論に達した(状況を理解した)ら、処置とともにケースを閉じます。クローズ済ケースとは、問題が解決されているため、それ以上の調査を必要としないケースのことです。クローズ済ケースには、そのケースでどのように問題が解決されたかを記述する処置が含まれます。ケースに処置が存在するのは、クローズされている場合のみです。

1. 「ケース詳細」ページを開きます。

   「ノートの追加」、「ステータスの変更」または「重大度の変更」を行えます。

2. 「ステータスの変更」をクリックします。「ステータスの変更」ダイアログが表示されます。このケースのステータスを選択し、ノートを入力します。次に、「送信」をクリックします。

   選択項目は、「ステータス」、「事前に作成したノート」および「ノート」です。選択するステータスは、「新規」、「保留中」および「クローズ済」です。

3. 「ステータス」リストで、「クローズ済」を選択します。

   「処置」フィールドがダイアログに表示されます。

4. 次の項目の中から処置を選択します。

   • 確認済不正

   • 重複

   • 不正ではない

5. 状況を最も的確に記述する「事前に作成したノート」を選択します。

6. 調査結果を要約する最終ノートを入力します。マネージャまたは監査者は、行われたアクションおよび関与したユーザーを含む、ケース・アクティビティに関するこれらのノートを表示できます。

7. 「送信」をクリックします。

   確認ダイアログが表示されます。

8. 「OK」をクリックして、確認ダイアログを閉じます。

3つの標準的な処置は、11.1.2.0.1を参照してください。これらは「確認済不正」、「重複」および「不正ではない」です。「ケース詳細」ページには、既存のエージェント・ケースに対応する処置が表示されます。

5.3.10 現在のステータスが「新規」である自動生成されたエージェント・ケースとオープン・ケースの検索

ケースとは、調査担当者が調査中に収集する詳細を格納するためのコンテナです。ケースが作成されると、調査担当者はそのケースを検索して、詳細を表示します。

処理する自動生成されたケースを検索するには、次の手順を実行します。

1. ケース検索ページから、最新の時間ですべてのエージェント・ケースをフィルタし、「ケース・ステータス」フィールドで「新規」を選択します。次に「検索」をクリックします。

   たとえば、過去2時間以内に作成された自動生成ケースを検索するには、調査担当者は次のように選択します。

   
   

2. 結果表には「ケースID」列が含まれており、これは「ケースID」列ヘッダーをクリックして昇順または降順でソートできます。その隣にある上矢印および下矢印は、データの現在の順序を示します。「ケースID」列ヘッダーをクリックして、結果を昇順でフィルタします。最小のケースID番号が最も古いものです。

   
   

3. ケースIDをクリックしてケースを開きます。

   「新規」ステータスを持つケースに調査担当者がアクセスして処理を開始すると、ステータスが自動的に「保留中」に変わり、「現在の所有者」が調査担当者になります。

   「ケース詳細」ページでは、現在の所有者およびケース・ステータスに関する情報を提供します。

   
   

   他の調査担当者は、このケースが現在使用中であると判別できるようになります(ケースに所有者が設定され、ステータスが「新規」ではなく「保留中」であるため)。調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。

5.3.11 リンク・セッションの表示

ケースが自動的に作成された場合、セッションがそのケースにリンクされているため、すべてのセッション・データが取得され、確認できるようになっています。これには、そのセッションでトリガーされた一連のアラートがすべて含まれます。調査担当者は、アラート・メッセージを読んで、この状況で何が発生したのかを理解できます。彼は最も高いアラートを調べて、それが生成された経緯を確認できます。たとえば、匿名プロキシは本当の地理的位置を隠すために犯罪者によって使用されることが多いため、匿名プロキシを使用している場合はバンキングが銀行のセキュリティ・ポリシーによって制限されている場合があり、匿名プロキシであることがわかっているIPからアクセスが試みられたためにアラートがトリガーされました。

1. 「ケース詳細」ページで、「リンク・セッション」タブをクリックしてセッションのアラートおよび詳細を表示します。

   「リンク・セッション」タブを使用すると、調査中のケースにリンクされているすべてのセッションを表示できます。タブには、リンクされた日付、アラート、トランザクションおよびリンク時に入力されたノートなどの情報も表示されます。表5-11に、検索結果で使用できる列をまとめます。

   表5-11 「リンク・セッション」列

   フィールド	説明
   リンク日	調査担当者によって、セッションがケースに関連付けられた日付。
   セッションID	不正調査担当者によって、エージェント・ケースに関連付けられたセッションの一意の識別子。
   ユーザー名	アカウントに関する問題を送信した個人の一意の識別子。
   デバイスID	トランザクションに使用されたデバイスの一意の識別子。
   デバイス・スコア	ユーザーがセッションで使用した特定のデバイスについて計算されたリスクのレベル。
   IPアドレス	ユーザーがインターネットにログオンするたびに、そのユーザーのデバイスにインターネット・サービス・プロバイダが発行する一意のネットワーク識別子。ログイン元のデバイスのIPアドレス。
   ロケーション	ログイン元のデバイスの地理的位置。
   トランザクション	そのセッションで行われたトランザクション。
   アラート	トランザクション・プロセス中に、ユーザーに対してトリガーおよび生成されたアラート。
   セッション日	セッションが行われた日時。
   ノート	セッションがリンクされた理由に関するノート。

   
   

2. 「アラート」列のアラートの左上隅に、小さいオレンジ色の四角が表示されます。四角にカーソルを置くと、「ノート」アイコンを含むより大きな三角が表示されます。三角をクリックすると、ある重大度レベルのアラートの合計数とアラート・メッセージがポップアップ画面に表示されます。

   
   

   セッションでトリガーされた一連のアラートをすべて表示し、アラート・メッセージを読んでこの状況で何が発生したのかを理解できます。アラートが生成された理由を表示し、各詳細を確認しながら調査を続けます。

   1. アラート・ポップアップ画面でアラート・メッセージ・リンクをクリックすると、詳細を示す「アラート詳細」ページが開きます。

   2. 詳細ページを使用して、アラートの生成に関する情報、メッセージ、アラート・レベル、メッセージ・タイプおよびその他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システムおよびロケールなど)とアラートとの関係を表示します。

      表5-12に、詳細ページと各ページで提供される情報のタイプをリストします。

   3. 表5-12 「アラート詳細」タブ

      「アラート詳細」タブ	説明
      サマリー	アラートに関する一般情報および現在の詳細(レベル/タイプ)を含むアラート・テンプレートを表示します。 アラートが関連付けられているアラート・グループを表示します。
      ユーザー	このアラートがトリガーされたセッションを持つユーザーを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのユーザーにアラートが生成されたか、およびユーザーごとのアラートの生成回数を確認できます。
      デバイス	このアラートがトリガーされたセッションに含まれていたデバイスを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのデバイスにアラートが生成されたか、およびデバイスごとのアラートの生成回数を確認できます。
      ロケーション	このアラートがトリガーされたセッションに含まれていたロケーションを表示します。 調査担当者はこのレポートを使用して、ログイン・プロセス中にどのロケーションにアラートが生成されたか、およびロケーションごとのアラートの生成回数を確認できます。
      セッション	このアラートがトリガーされたセッションを表示します。
      フィンガープリント・データ	アラートが生成されたログイン・プロセスで作成されたフィンガープリントを表示します。

      
      

3. トランザクションおよびセッションの詳細を表示するには: 「トランザクション」列で、セッション内のトランザクションの横にあるオレンジ色の四角をクリックすると、そのセッションで行われたトランザクションがポップアップ画面に表示されます。次にトランザクションをクリックしてさらにデータを表示します。

   「サマリー」セクションおよび「トランザクション・データ」セクションが示されます。

   表5-13 サマリーおよびトランザクション・データ

   詳細	説明
   トランザクション・タイプ	トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。
   トランザクションID	トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。
   トランザクション日	トランザクションが行われた日時。
   セッションID	ログインまたはトランザクションが行われたセッションの一意の識別子。リンクにより、調査担当者は「セッション詳細」ページに移動します。
   説明	行われたトランザクションの追加説明。
   デバイスID	トランザクションに使用されたデバイスの一意の識別子。リンクにより、調査担当者はデバイス詳細ページに移動します。
   ユーザー名	ユーザーがログインするために入力するログイン名。ユーザー詳細ページにリンクします。
   IPアドレス	トランザクションのロケーションにマップされるアドレス。
   市区町村	トランザクションが行われた市区町村。
   都道府県	トランザクションが行われた都道府県。
   国	トランザクションが行われた国。
   トランザクション・データ	トランザクション・タイプ、エンティティおよびランタイム・データ。

   
   

4. セッションからデータ・ポイントを選択して詳細にドリル・インすることによって、さらに詳しく調査します。

5.3.12 トランザクション・データおよびサマリー・データなどの関連トランザクションの詳細の表示

「トランザクションの検索」ページで、「検索結果」表の「トランザクション・タイプ」列にあるトランザクションをクリックし、「トランザクション詳細」ページからトランザクションをさらに詳細に表示します。

このページでは、次のオプションも使用できます。

• グループに追加

• ケースへのリンク

5.3.12.1 サマリー情報の表示

上部セクションには、トランザクションに関する一般情報がセッションIDとともに表示されます。

表5-14 トランザクションのサマリー情報

詳細	説明
トランザクション・タイプ	トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。
トランザクションID	トランザクションIDは、カスタマがトランザクションを送信するたびに作成される一意の識別子です。
トランザクション日	トランザクションが行われた日時。
セッションID	ユーザーのオンライン・トランザクション・セッションを識別する一意の識別子。「セッション詳細」ページにリンクします。
説明	ノートのリンク。
デバイスID	各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。デバイス詳細ページにリンクします。
ユーザー名	ユーザーがログインするために入力するログイン名。ユーザー詳細ページにリンクします。
IPアドレス	通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。IP詳細ページにリンクします。
市区町村	市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。市区町村詳細ページにリンクします。
都道府県	都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。都道府県詳細ページにリンクします。
国	国ID。国詳細ページにリンクします。

5.3.12.2 トランザクション・データの表示

トランザクションの詳細は、名前と値の表で表示されます。次の情報が、次に示す順序で表示されます。

• トランザクション・データ

• エンティティ・インスタンス

• 関連エンティティ・インスタンス

図5-8 「トランザクション詳細」ページにおけるトランザクション・データの表示

表5-15 「トランザクション詳細」のトランザクション・データ

トランザクション・データ	説明
トランザクション・タイプ	トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。
エンティティ	トランザクションに含まれるエンティティ。
値	トランザクションの過程でユーザーが入力した値。

5.3.12.3 セッション・データの表示

「トランザクション詳細」ページで、アラートおよびアクションを表示します。

このセクションに表示されるセッション・データには、次のものがあります。

• アラートおよびアクション

• 最終アクション

• 「アラート」表には、アラート・レベル、アラート・メッセージ、トリガー日などの追加情報が表示されます。

• ルールおよびポリシー名はトリガー・ソース下でリンクされ、これによって対応する詳細ページを開くことができます。

表5-16 アラート・セッション・データ

アラート情報	説明
アラート・レベル	アラートの重大度。「高」、「中」、「低」のいずれかです。
アラート・メッセージ	アラートに設定されたテキスト・メッセージ。アラート詳細にリンクします。
アラート・タイプ	アラートのタイプ。不正、調査、情報またはその他の理由です。
トリガー・ソース	特定のアラートを生成したルール。
タイムスタンプ	アラートが生成された時間。

図5-9 「トランザクション詳細」ページにおけるアラートの表示

5.3.13 トランザクションまたはセッション指向の結果の表示

「フィルタ済セッション」ページを開くには、次の手順を実行します。

1. 「セッション件数」リンクをクリックして、先に指定したデータ・ポイントによりフィルタされたセッションを表示します。

   図5-10 フィルタ結果の表示

   
   

2. フィルタ・ページから、次のデータ要素を表示します。

   表5-17 フィルタ・ページの検索結果

   フィールド	説明
   セッションID	このセッションに対する一意の識別子。セッション詳細にリンクします。
   アラート	トランザクションから生成されたアラート。
   トランザクション	データ・ポイントによってフィルタされたトランザクション。
   組織ID	不正調査担当者が属する組織を識別します。
   ユーザー名	ユーザーがログインするために入力するログイン名。ユーザー詳細ページにリンクします。
   デバイスID	各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。
   IPアドレス	通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。
   ロケーション	トランザクションが行われた場所。
   セッション日	セッションが行われた時間。
   クライアント・タイプ	仮想認証デバイス。認証またはフィンガープリント処理に使用されたデバイスまたはアプリケーション。たとえば、TextPad、KeyPad、質問パッド、ログイン・ページ、Flashトラッカです。auth.client.type.enumが使用される列挙です。
   ユーザーID	そのユーザーの一意の識別子。

   
   

注意: 「グループに追加」機能をこのページから使用できます。

5.3.14 同じトランザクションの複数インスタンスの比較

類似性を見つけるためにトランザクション・データを比較します。同じトランザクション定義タイプの複数のトランザクション検索結果を選択して、「比較」ボタンをクリックすると、「トランザクションの比較」タブが開き、このタブを使用してこれらのトランザクションを比較できます。

調査担当者は、選択したトランザクション間で共通のデータ要素のみをフィルタおよび表示できます。デフォルトでは、共通でないデータ要素を含む、選択したトランザクションのすべてのデータ要素が比較ページに表示されます。

同じタイプの2つ以上のトランザクションを選択してその値を比較するには、次の手順を実行します。

1. ユーティリティ・パネルの「関連アイテムが見つかりました」セクションで、一致するトランザクションの数をクリックし、フィルタ済データ要素を確認します。

2. 「フィルタ済トランザクション」ページの「検索結果」表で、同じトランザクション・タイプの2つ以上のトランザクション検索行を選択し、「比較」をクリックします。

   図5-11 トランザクションの比較

   
   

   検索結果から少なくとも2つのトランザクションを選択するまで、「比較」オプションは無効です。

   比較は、同じタイプのトランザクションに対してのみ行えます。デフォルトでは、最大10件のトランザクションを比較できます。調査担当者はフィルタを適用して、デフォルトで使用可能な10件のトランザクションの中からいくつかのトランザクションを選択して表示できます。

   「比較」をクリックすると新規タブが開き、調査用にトランザクション値が表示されます。

3. 「トランザクションの比較」タブで、トランザクションおよびエンティティのデータを比較対照します。

   図5-12 トランザクションの比較の表示

   
   

   デフォルトでは、最大10件のトランザクションを比較できます。

4. 使用可能なトランザクションの中から、フィルタを適用することで、いくつかのトランザクションを選択して表示します。

   図5-13 フィルタの適用

   
   

5. 疑わしいトランザクションに関係する追加のデータ要素を「フィルタ・アイテム」パネルに1つずつドラッグ・アンド・ドロップし、評価が必要な他のアクティビティがあるかどうかを確認します。

5.3.14.1 トランザクション・データ比較のシナリオ

Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。

ユーザーJohnは疑わしく、銀行の異なるアカウント番号に複数回の電信送金を行っています。調査担当者は、すべてのアカウント番号および各送金の金額を結果にリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。

フィルタ	エンティティ・フィールド
トランザクション名	電信送金
エンティティ	カスタマ
エンティティの名	John
結果
トランザクション・データ	金額
エンティティ	アカウント
トランザクション・フィールド	宛先アカウント番号

Jeffは、タイプが同じ電信送金である2つのトランザクション検索行を選択し、「比較」ボタンをクリックします。トランザクションおよびエンティティ・データを比較する「トランザクションの比較」タブがJeffに表示されます。

5.3.15 ケース・ノートの追加

ユーティリティ・パネルには「ケース・ノート」領域が含まれ、現在のケースのすべてのノートが、時間の降順で示されます。ノートをケースに追加することにより、調査担当者は、検索結果、非表示の関係または通常と異なる動作を記録および共有できます。調査担当者は、調査を進めながら、ノートを入力して「ノートの追加」をクリックすることにより、「ケース・ノート」パネルに直接ノートを追加できます。

検索結果を記録する過程で、調査担当者はフィルタ基準を保存して、他の調査担当者がそのケースの関連データ・ポイントを確認できるようにすることができます。フィルタを含めるには、「フィルタ・アイテムの挿入」をクリックして、フィルタ詳細をノートとして追加できるようにします。調査担当者が追加できるノートの数に制限はありません。調査担当者がさらにノートを追加する必要がある場合、パネルにはスクロール機能が備わっています。検出プロセスを時間に沿って追跡することにより、調査担当者は、どのように結論に達したかを他の人に示すことができます。

「ケース・ノート」パネルで直接ケースに新規ノートを追加するには、次の手順を実行します。

1. 「ケース・ノート」パネルにノートを入力します。

2. ケースにノートを追加した後で、「ケース・ノート」パネルの「ノートの追加」ボタンをクリックします。すべてのケース・ノートが、時間に基づく降順でパネルに表示されます。調査担当者が処理を開始する前に、ケースの履歴をすべて把握できるため、これは非常に有用な情報です。

3. 「フィルタ・アイテムの挿入」をクリックして、フィルタ済データ要素およびその値をケースにノートとして追加します。これにより調査担当者は、ケースの関連データ・ポイントを確認できます。

   このアクションでは、検索に実際に使用されたデータ要素のみが追加され、「フィルタ・アイテム」パネル内のすべてのデータ要素が追加されるわけではありません。たとえば、デバイスIDの1234がフィルタ・データ要素に追加されても、チェックされていない場合、これはこのIDが検索で使用されていないため、挿入されないことを意味します。

後で「ケース・ノート」の「ケースを閉じる」ボタンをクリックすると、「ケース・ノート」パネルを含むフィルタ・ユーティリティ・パネルが自動的にリフレッシュされます。

注意: 「ケース・ノート」パネルにはリンク・ノートは表示されません。「ケース・ノート」パネルで直接追加されたケース・ノート、およびツール・バーの「ノートの追加」を使用して追加されたノートのみが表示されます。

ケース・ノートは必須です。

5.3.16 処置とともにケースを閉じる

調査担当者が状況の調査を終えて結論に達した(状況を理解した)ら、処置とともにケースを閉じます。

1. 「ケース詳細」ページを開きます。

   選択肢は、ノートの追加、ケースのステータスの変更またはケースの重大度の変更です。

2. 「ステータスの変更」をクリックします。「ステータスの変更」ダイアログが表示されます。このケースのステータスを選択し、ノートを入力します。次に、「送信」をクリックします。

3. 「ステータス」リストで、「クローズ済」を選択します。

   「処置」フィールドがダイアログに表示されます。

4. 処置を選択します。

5. 状況を最も的確に記述する「事前に作成したノート」を選択します。

6. 調査結果を要約する最終ノートを入力します。マネージャまたは監査者は、行われたアクションおよび関与したユーザーを含む、ケース・アクティビティに関するこれらのノートを表示できます。

7. 「送信」をクリックします。

   確認ダイアログが表示されます。

8. 「OK」をクリックして、確認ダイアログを閉じます。

5.3.17 新しくエスカレーションされたケースを開く

調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。調査担当者が初めてケースにアクセスすると、ステータスが自動的に「保留中」に変わり、現在の所有者がケースを開いた調査担当者になります。エスカレーション済ケースを開き、CSRおよびCSRマネージャが入力したノートをログで確認することがベスト・プラクティスです。

エスカレーション済ケースには次のタブが含まれます。

• サマリー: ケースに関する詳細をリストする

• リンク・セッション: ケースにリンクされたセッションをリストする

• ログ: ケース・アクション・ログをリストする

「サマリー」タブには、ケース詳細が表示され、ケースがエスカレーション済ケースの場合は、そのケースに関連付けられているユーザーの詳細が表示されます。

5.3.18 ケース・ログの表示

このケースはカスタマ・サービス・ケースに基づくため、特定のユーザーの情報が詳細に含まれます。ケース詳細を調べ、ユーザーを確認します。セッションの検索にユーザーIDが必要となるため、そのIDを書き留めます。

ログ・セクションには、ケースに対して行われたアクションのログが表示されます。検索フィルタは次のとおりです。

表5-18 ログ検索フィルタ

フィルタ	説明
ノート・キーワード	事前に作成したノートからのキーワード。
ARM ID	CSR識別子。
アクション	ケースの最後のアクション。たとえば、jsmithは昨日カスタマ・サービスに電話をかけ、自分のアカウントからお金が失われていることを伝えました。CSRはケースをエスカレーションし、jsmithに24時間以内に連絡することを伝えました。36時間後、jsmithは再度電話をかけて、連絡がない理由を尋ねます。CSRは、jsmithに対して昨日エスカレーションされたケースを表示する必要があります。彼は、「エスカレーション」アクションを含むjsmithのケースおよび過去48時間以内に期限超過していないケースを検索します。
作成日	ケースが作成された日付。

5.3.19 ユーザー・データの表示

エスカレーション済ケースのユーザー・データには、次の情報が表示されます。

表5-19 ユーザー・データ

データ	説明
ユーザー名	ケースが作成された対象のユーザー。
ユーザーID	ユーザー識別子。
組織ID	組織IDは、不正調査担当者が属する組織に固有の識別子です。それぞれの不正調査担当者は1つの組織のみに属しています。
最終オンライン・アクション	ユーザーが実行した最後のアクション。たとえば、チャレンジ質問に回答した場合はフィールドに「チャレンジ質問」と表示され、ユーザーがブロックされた場合は「ブロック」と表示されます。
最終オンライン・アクションの日付	最後のオンライン・アクションが実行された日付。
一時許可の有効期限日	一時許可が有効になっている場合、このフィールドには、その有効期限日が示されます。一時許可が7日の場合、有効期限日は今日から1週間後です。
一時許可有効	一時許可が有効である場合、このフィールドには「はい」と表示され、それ以外の場合は「いいえ」と表示されます。
OTPバイパス有効	一時許可と似ていますが、OTPチャレンジはブロックではなく無視されます。
OTPバイパス有効期限日	OTPバイパスが有効でなくなる日時。
完了した登録	ユーザーが登録を完了している場合、このフィールドには「はい」と表示され、それ以外の場合は「いいえ」と表示されます。登録するには、ユーザーはパーソナライズ(イメージとフレーズ)、KBA質問/回答の登録、および電子メール/携帯電話の連絡先情報の入力をすべて完了する必要がある場合があります。
アクティブな質問	ユーザーが登録を完了したが、質問がリセットされ、ユーザーが戻って新しい質問を登録していない場合は、このフィールドに「いいえ」と表示されます。ユーザーが登録を完了しており、ユーザーにチャレンジするために使用できる質問が存在する場合、このフィールドには「はい」と表示されます。
OTP提供方法有効	ユーザーはOTPチャレンジ用に電子メールまたは携帯電話を登録しています。
パーソナライズ・アクティブ	イメージ、フレーズおよび質問がユーザーに対して有効になっている場合、このフィールドには「はい」と表示されます。これらのいずれかがリセットされている場合、このフィールドには「いいえ」と表示されます。

5.3.20 「ケース詳細」の表示

「ケース詳細」には、次の情報が表示されます。

表5-20 ケース詳細

詳細	説明
ケースID	ケースを識別するための一意のケース番号。
組織ID	不正調査担当者が属する組織に固有の識別子。それぞれの不正調査担当者は1つの組織のみに属しています。
作成者	これには、ケースを作成した不正調査担当者の名前が表示されます。構成可能なアクションによってケースが作成されている場合、「作成者」には動的と表示されます。
現在の所有者	現在このケースを使用中の調査担当者の名前。
ケース作成済	エージェント・ケースが作成された日付。
ケース・タイプ	「エージェント」、「CSR」または「エスカレーション済」(エスカレーション済ケースは作成できません)
重大度レベル	重大度レベルはケースを作成するユーザーによって設定され、このケースの重大度をユーザーに伝えるマーカーとして使用されます。誰でもケースの重大度を変更できます。
説明	ケースの詳細。説明は必須です。
処置	ケースが閉じている場合、処置はケース内の問題が解決された方法を示します。ケースに処置が存在するのは、クローズされている場合のみです。ケースのステータスがクローズ済以外である場合、処置は空白です。
ケース・ステータス	ケース・ステータスは、エージェント・ケースが手動で作成された場合は「保留中」になり、エージェント・ケースが(構成可能なアクションによって)自動的に作成された場合は「新規」になり、ケースがアクセスされると「保留中」に変わります。エスカレーション済ケースでは、ケース・ステータスは「エスカレーション済」になり、調査担当者がこのケースにアクセスすると、「保留中」に変わります。 ケース・ステータスは、様々な管理者によりアクセスされると変更されます。
有効期限日	エージェント・ケースおよびエスカレーション済ケースには、作成日から24時間のデフォルトの有効期限日があります。有効期限日より前にケースがアクセスされない場合、ステータスが「期限超過」になります。ケースがアクセスされるたびに、エージェント・ケースまたはエスカレーション済ケースの有効期限日が新しい値にリセットされ、デフォルトではこの日付はケースにアクセスがあった日付から24時間後にリセットされます。
最終ケース・アクション	エスカレーション済またはエージェント・ケースで実行された最後のアクション。エージェント・ケースにはユーザー詳細はありません。
最終アクションの日付	最後のアクションが行われた日付。
最終グローバル・ケース・アクション	エスカレーション済CSRケースから作成されていないエージェント・ケースの場合、「最終グローバル・ケース・アクション」フィールドは常に空です。ユーザーに関連付けられているエージェント・ケース(エスカレーション済ケース)の場合、最終グローバル・ケース・アクションは、エージェント・ケースに関連付けられているユーザーが最後に実行したケース・アクションです。ケース・アクションは、すべてのケースに対して実行できます(CSR/不正調査担当者)。
最終グローバル・ケース・アクションの日付	オンライン・ユーザーに対して実行された最後のアクション。

サマリーには現在の所有者およびケースを作成した不正調査担当者が表示される

サマリー・データには、現在の所有者およびケースを作成した不正調査担当者が表示されます。ケースが構成可能なアクションによって作成された場合、ケースの作成者として動的が表示されます。

5.3.21 様々な基準に基づく疑わしい可能性のあるセッションの検索

セッションを検索するには:

1. 「セッション」タブをクリックします。セッション検索ページが表示されます。

   セッション・フィルタは次のとおりです。

   表5-21 セッション検索フィルタ

   フィルタ	説明
   セッションID	セッションのID。
   組織ID	不正調査担当者が属する組織を識別します。
   アラート・レベル	アラートの重大度。「高」、「中」、「低」のいずれかです。
   アラート・メッセージ	アラートに設定されたテキスト・メッセージ。
   ユーザー名	ユーザーがログインするために入力するログイン名。
   デバイスID	各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。
   IPアドレス	通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。
   認証ステータス	セッションのステータス(ログインまたはトランザクション試行のたびに新規セッションが作成されます)。詳細は、「認証ステータス」を参照してください。
   国	国ID。
   都道府県	都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。
   市区町村	市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。
   IP範囲	IPアドレスの範囲。
   ログイン時間	トランザクションを実行するためにカスタマがログインした時間。たとえば、5/11/09です。
   デバイス・タイプ	デバイスがラップトップ/デスクトップまたはモバイル・デバイスであるかを表します。
   クライアント・アプリケーション	ユーザーがアクセスしたネイティブ・モバイル・アプリケーションを示します。
   緯度/経度:	デバイスの地理空間位置(GPSのWIFI三角測量により使用可能な場合)
   外部デバイスID	MDMまたはその他のサード・パーティ・ソリューションにより一意のモバイル・デバイス識別子が提供されている場合に使用されます。

   
   

2. セッション検索ページで、検索フィルタに基準を指定して、返されるセッション数を絞り込みます。

   たとえば、過去12時間の「高」アラートおよび「ブロック済」または「ロック済」認証ステータスを持つセッション(「時間」、「アラート・レベル」および「アクション」によってフィルタされたセッション)を検索します。

5.3.22 指定した基準に一致するセッションのリストの表示

「検索」ボタンをクリックすると、基準に一致するセッションのリストが検索結果に表示されます。

表5-22 セッション検索結果

フィールド	定義
セッションID	セッションのID。
アラート	アラートの重大度およびアラートの数。「その他」ボタン(オレンジ色の四角)をクリックすると、その重大度レベルのアラートの数およびトリガーされたアラートに関する詳細が表示されます。
トランザクション	セッション中に行われたトランザクションのタイプ。「その他」ボタン(オレンジ色の四角)をクリックすると、特定のトランザクションの「トランザクション詳細」ページを開くためのリンクにアクセスできます。このページには、トランザクションの一般サマリー、エンティティを含むトランザクション・データおよび値を含むトランザクション・データが含まれます。
組織ID	不正調査担当者が属する組織を識別します。
ユーザー名	ユーザーがログインするために入力するログイン名。
デバイスID	各デバイスを一意に識別するもので、アプリケーションにより自動生成されます。
IPアドレス	通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。
ロケーション	国ID、都道府県IDおよび市区町村ID
認証ステータス	セッションのステータス(ログインまたはトランザクション試行のたびに新規セッションが作成されます)。
セッション日	トランザクションを実行するためにカスタマがログインした時間。たとえば、5/11/09です。
認証前スコア	「認証前」チェックポイントのスコア。
認証前アクション	認証前チェックポイントのアクション。
認証前スコア	認証前チェックポイントのスコア。
認証後アクション	「認証後」チェックポイントのアクション。
クライアント・タイプ	仮想認証デバイス。認証またはフィンガープリント処理に使用されたデバイスまたはアプリケーション。たとえば、TextPad、KeyPad、質問パッド、ログイン・ページ、Flashトラッカです。auth.client.type.enumが使用される列挙です。
ユーザーID	そのユーザーの一意の識別子。
内部セッションID	セッションのシステム生成ID。

5.3.23 セッションのフォレンジック・レコードおよび一般詳細の表示

「セッション詳細」ページには、不正分析の特定のセッションで発生したイベントの概要が表示されます。次の項目が含まれます。

• ユーザー、デバイス、ロケーション、その他の詳細など、一般的なセッション情報とキーポイント

• カスタム・フィンガープリント・タイプに関する追加情報と使用可能な標準のフィンガープリント情報

• 作成されたトランザクションや評価されたチェックポイントなど、セッションのフォレンジック・レコード。

「セッション詳細」ページはこの項に示します。表5-17に、「セッション詳細」ページと「サマリー」パネル(デフォルトで拡張)、「チェックポイント」、「トランザクション」、「ユーザー」、「デバイス」および「ロケーション」タブを示します。

図5-14 セッション詳細

5.3.23.1 セッションのサマリー

「サマリー」パネルには、認証ステータス、ユーザーのログイン元の経度と緯度、Cookie情報、自動学習処理のステータス、ログイン日時、デジタル・フィンガープリントを収集するために使用されたデジタル・フィンガープリントのタイプなど、セッションに関する情報のサマリーが表示されます。カスタム・フィンガープリントが使用されている場合は、このパネルにカスタム・フィンガープリント・タイプ名が表示されます。

例: 速度アラートおよびロック済認証ステータスとともにセッションが表示されています。経験上、この組合せはまれであり、多くの場合は不正を表します。これは盗難された認証資格証明のケースである可能性があるため、調査する必要があります。このセッションの詳細画面を開いて、このセッションで行われたことを正確に調べます。ログインによりKBAチャレンジがトリガーされ、質問に回答しようとして3回失敗したためにロックされたことがわかります。また、このルールの結果として、ユーザーが高リスク・ユーザー・グループに動的に追加されたこともわかります。チャレンジの原因となったポリシーにドリル・インして、トリガーされたルールを確認します。また、このユーザーが、このロックアウトに関連するCSRケースを持っているかどうかも確認します。CSRケースを検索し、KBA質問をリセットするためにユーザーがコールされたかどうかを判断します。

5.3.23.2 チェックポイント

チェックポイントは「チェックポイント」タブにリストアップされます。このタブでは、最終アクション、リスク・スコア、トリガーされたアクション、生成されたアラート、実行時間、作成時間が表示されます。「チェックポイント」表からチェックポイントを選択すると、「チェックポイント」表の下に「チェックポイント」パネルが表示されます。

「チェックポイント」パネルでは、各チェックポイント表で「アクション」、「アラート」、「構成可能なアクション」または「ポリシー」リンクを選択し、チェックポイントのアクション、アラート、構成可能なアクションまたはポリシーに関する詳細を表示できます。個々のリンクにはパラメータの数が表示されます。

アラート

「アラート」パネルには、セッション中にチェックポイントに対して生成されたアラートとアラートの詳細が表示されます。各チェックポイントにより、複数のアラートがトリガーされることがあります。高レベル・アラートは、赤色の太字で表示されます。

表5-23に、「アラート」パネルに表示される情報のタイプを要約します。

表5-23 セッション・チェックポイント・アクション

項目	説明
レベル	アラートの重大度: 「高」、「中」または「低」
アラート・メッセージ	アラートに設定されたテキスト・メッセージ。
タイプ	アラートのタイプ: 不正、調査、情報またはその他の理由
トリガー・ソース	特定のアラートを生成したルール。
タイムスタンプ	アラートが生成された時間。

アクション

すべてのアクションが、「アクション名」列およびそのアクションが最終であるかどうかを示す個別の列を含む「アクション」パネルに表示されます。最終アクションは、チェックポイント・パネルの右上のセクションにも表示されます。

ポリシー

チェックポイントを選択して、「ポリシー」リンクをクリックすると、そのチェックポイントにおけるポリシーのリストが「ポリシー」パネルに表示されます。チェックポイント・パネルからルールを表示できます。アクション・リンクをクリックすると、チェックポイントでトリガーされたアクションを確認できます。

表5-24に、「ポリシー」パネルに表示される情報のタイプを示します。

表5-24 チェックポイント内のポリシー

項目	説明
名前	チェックポイント下にあるポリシーの名前、ポリシー下にあるルール、ルール下にある条件およびトリガーされたアクション。
ステータス	「実行済」(ポリシーの場合)および「トリガー済」(ルールの場合)。
スコアリング・エンジン	スコアリング・エンジンは、ポリシー・レベルおよびチェックポイント・レベルで提供されます。 ポリシー・スコアリング・エンジンは、各ポリシーのリスクを判別するためにルール・スコアに適用されます。
時間	発生時間。
重み	合計スコアに反映するために使用されるパーセント値。
スコア	特定の状況または状況の一部について計算され、数値で表されるリスクのレベル。1つのチェックポイント下に複数のポリシーがあります。これらのポリシーのスコアは、チェックポイントのスコアを決定するために使用されます。

スコア

スコアは、ポリシーおよびチェックポイントについて表示されます。スコアは、不正またはビジネス・シナリオの確率の検出および意思決定に役立ちます。

ポリシー・エクスプローラの起動

ポリシーの詳細を表示するには、パネル上部のアイコンを使用して、または表内の任意のアイコンから、ポリシー・エクスプローラを起動します。ポリシー・リンクに、「ポリシー詳細」ページが表示され、ルール・リンクに「ルールの詳細」ページが表示されます。アクティブなルールおよびトリガーされたルールのみが表示されます。アクティブなポリシーのみが表示されます。ポリシー・エクスプローラですべてのルールを表示するオプションがあります。

ポリシー・エクスプローラで、トリガーされたポリシーとルールそれぞれのランタイム値を表示できます。たとえば、あるルールがトリガーされ、ユーザーが通常ログインする国とは別の国からログインしたことが示された場合は、ランタイムの詳細を調査して、どの国からログインしたかを調査できます。ポリシー・エクスプローラには、トリガーされたポリシー、条件パラメータおよび実際の値が表示されます。

「チェックポイント」タブおよびパネルの使用例

調査担当者は、なぜ特定のルールがトリガーされたかに関心があります。たとえば、どのポリシーとルールによってアラートがトリガーされたのかを調査する場合があります。これらの詳細を確認することにより情報を収集できます。たとえば、「認証前」および「認証後」チェックポイントを正常に通過したユーザーであれば、パスワードと質問および回答を知っていたことになり、有効なユーザーである可能性が高いといえます。一方、質問に2度答えようとして3度目に正しい答えを出したユーザーは、疑わしいとみなされる場合があります。このユーザーは回答が即座にわからなかったため、新しい回答を試行する不正行為者である可能性があります。

5.3.23.3 セッション・トランザクション

「トランザクション」パネルには、セッションで行われたトランザクションのリストが表示されます。トランザクションで使用された実際のトランザクション・データとエンティティ属性の値を表示できます。たとえば、セッションを分析する不正調査担当者は、ユーザーがトランザクションの実行をブロックされ、特定のアラートが生成されたことを確認できますし、トランザクションで使用されたトランザクション数およびアカウント番号も確認できます。

「セッション・トランザクション」タブには、セッションの実行順にトランザクションが表示され、トランザクションID、トランザクション・タイプ、ステータス、アラート、トランザクション・データなどのトランザクションに関する情報も表示されます。

例: Jeffは自動的に生成されたケースを調査している不正調査担当者です。このケースから、彼は2つのアラートが生成されたことを確認できます。それらがトリガーされた具体的な理由を確認するために、彼は「セッション詳細」を開きます。セッション詳細から、彼はトリガーされたルール・インスタンス、ルールが含まれているポリシー、ポリシーにリンクされているチェックポイント、チェックポイントに関連するトランザクションを確認できます。彼はまた、アクションまたはスコア・オーバーライドがあるかどうかも確認できます。すべてのエンティティおよびトランザクション・データは、「セッション詳細」ページからアクセスできます。これには、保護されたアプリケーションからのトランザクションIDとトランザクション・ステータスが含まれています。調査担当者はこのデータを使用して、疑わしいトランザクションをアプリケーション・トランザクションまで遡って追跡し、そのトランザクションが成功したか、拒否されたか、遅延されたかまたはブロックされたかを確認できます。

5.3.23.4 セッション・ユーザー

「ユーザー」タブには、ユーザーの基本情報、登録情報およびプロファイル情報が含まれています。

一般情報

表5-25に、「ユーザー」タブで提供されるユーザーに関する基本情報を要約しています。

表5-25 ユーザーに関する基本情報

フィールド	定義
ユーザー名	ユーザーがログインするために入力するログイン名。
ユーザーID	そのユーザーの一意の識別子。
組織ID	ユーザーが属する組織を識別します。
有効なユーザー	ユーザーが、1回以上正常に認証されている場合はTrue。
ロック済	ユーザーが最大チャレンジ回数に失敗した場合のステータス。ユーザーは、失敗カウンタが最大失敗数に達した後にセッションからロックアウトされます。
作成日	ユーザーが作成された日付。ユーザーの最初のログイン日でもあります。

登録情報

ユーザーは初めてログインしたときに登録処理を行う必要があります。情報はこの処理中に取得されます。表5-26に、登録処理中にユーザーが実行した各アクションのステータスを特定するプロパティ値および属性値をまとめます。

表5-26 登録情報

フィールド	定義
完了した登録	(はい/いいえ)各ユーザーに固有で、セキュリティ上の理由からユーザーの識別に使用される、登録されたチャレンジ質問やイメージとフレーズなどの登録処理をユーザーが完了したかどうかを識別します。
仮想デバイス	登録処理中にユーザーがセキュア・デバイスとして登録したデバイスIDのリスト。最大3つのデバイスを登録できます。
パーソナライズ・アクティブ	(はい/いいえ)ユーザーがイメージとフレーズを登録したかどうかを識別します。
質問アクティブ	(はい/いいえ)ユーザーがチャレンジ質問を登録したかどうかを識別します。
OTPアクティブ	(はい/いいえ) ユーザーがショート・メッセージ・サービス(SMS)または電子メール・チャレンジでワンタイム・パスワード(OTP)を割り当てられたかどうかを識別します。
最終オンライン・アクション	ユーザーの最新のトランザクションでユーザーが実行した最後のオンライン・アクション。
最終オンライン・アクションの日付	ユーザーの最新のトランザクションでユーザーが実行した最後のオンライン・アクションの日付。
一時許可	(はい/いいえ)ユーザーがブロックされたかどうか、および自分のアカウントへの一時アクセスが許可されているかどうかを識別します。

プロファイル・データ

「プロファイル・データ」セクションには、キャッシュ・データを使用してユーザーに関する重要な統計値がリストアップされます。ユーザー・グループ、アクション・カウンタ・データ、アクション・オーバーライド・データ、フィンガープリント・データおよび失敗カウンタ・データの集計値が表示されます。これらの値はキャッシュ・データを使用し、データベースがパージされている場合でもレコードは常に表示されます。

表5-27 プロファイル・データ

フィールド	定義
ユーザー・グループ	ユーザーに関連付けられているグループをリストします。
アクション・カウンタ・データ	ユーザーが実行する様々なアクションおよびそれぞれの集計件数をリストします。このデータは、rule.action.enumでincrementCacheCounterプロパティがtrueに設定されている場合にのみ使用できます。
アクション・オーバーライド	オーバーライドが一時許可などでアクティブな場合、チェックポイントおよびオーバーライドするユーザーのアクションをリストします。 たとえば、ユーザーが前にブロックされ、現在は一時的に自分のアカウントへのアクセスを許可されている場合、認証前の間は、このユーザーは、ブロックされるのではなく、トランザクションの続行を許可されます(つまり、ブロック・アクションは許可アクションでオーバーライドされます)。アクションのオーバーライド値は、プロパティ・ファイルで構成されています。
フィンガープリント・データ	このパネルに表示されるフィンガープリント・データID番号は、「フィンガープリント・データ」タブに表示されるものと同じです。フィンガープリント・データと「フィンガープリント・データ」タブの違いは、タブにはID番号およびその他の情報(ブラウザやロケールなど)が表示されることです。
失敗カウンタ・データ	ユーザーに示されたチャレンジと、それぞれにユーザーが回答できなかった回数の合計のリスト。

5.3.23.5 セッション・デバイス

「デバイス」タブには一般的なデバイス情報が表示されます。次の情報を指定します。

基本情報

表5-28 基本情報

デバイス詳細: 「サマリー」タブ	説明
デバイスID	各デバイスを一意に識別するもので、OAAMによって自動生成されます。 特定のデバイスのデジタル・フィンガープリントが変更された場合でも、デバイスIDは保持され、新しいデバイスは作成されません。これは、セキュアCookieが前のリクエストと同じであるため、既存のデバイスIDとして引き続き使用されるためです。
デバイス・タイプ	使用するデバイスのタイプ。たとえば、デスクトップまたは従来型のコンピュータ。
外部デバイスID	外部デバイスIDは、別のシステムによってデバイスに与えられた番号です。たとえば、「Mobile and Social」では外部デバイスIDを提供できます。携帯電話
ブラウザ	デバイス・ブラウザ・タイプ。情報は、デバイスに関連付けられているフィンガープリント・データからフェッチされます。
オペレーティング・システム	デバイスのオペレーティング・システム。情報は、デバイスに関連付けられているフィンガープリント・データからフェッチされます。
作成日	ユーザーが、デバイスを認証に初めて使用した日付。デバイスの最初のログイン日でもあります。
最終使用日	この日付は、デバイスからの最新のログイン時間を表します。

フィンガープリント詳細

デバイス詳細のサマリー・ページには、フィンガープリント・タイプおよびそのパラメータが階層ツリー形式で表示されます。「フィンガープリント詳細」セクションでは、ログイン時にデバイスに作成されたフィンガープリントがリストされます。OAAMでは、標準で2つのフィンガープリント・タイプ(ブラウザとデジタル)のみをサポートしています。デジタル・フィンガープリントは、Flash、またはユーザーが定義したいずれかのカスタム・タイプになります。OAAMではフレームワークを提供しているため、ユーザーは、必要に応じて、ブラウザやFlash以外のフィンガープリント・タイプを使用できます。

セッション詳細サマリー・ページの「デジタル・フィンガープリント・タイプ」フィールドに、デジタル・フィンガープリントの収集に使用したフィンガープリント・タイプが表示されます。カスタム・フィンガープリントが使用される場合、このフィールドにはカスタム・フィンガープリント・タイプの名前が表示されます。

表5-29 フィンガープリント情報

デバイス詳細の「フィンガープリント」タブ	説明
フィンガープリント詳細のタイトル	フィンガープリント詳細のタイトルには、そのデバイスのフィンガープリントの数が示されます。
ブラウザ・フィンガープリント	ID、ブラウザ、ローカル国、ローカル言語、ローカル・バリアント、オペレーティング・システム、ユーザー・エージェントなどの情報が表示されます。
デジタル・フィンガープリント	Flashフィンガープリント、またはユーザーが定義した別のカスタム・フィンガープリントの情報が表示されます。フィールドには、次のような情報が表示されます。 ID デジタル・フィンガープリント・タイプ 画面のアスペクト率 音声/ビデオがユーザーによって無効化された ビデオ・エンコーダが含まれる デバッグ・バージョン 1インチ当たりのドット数 埋込みビデオ Flashバージョン 音声エンコーダを備えている MP3対応 アクセシビリティ対応 音声対応 Input Method Editorインストール済 ローカル・ファイル読取りが無効 画面の色 言語 製造業者 オペレーティング・システム プレーヤ・タイプ 画面解像度 ネイティブSSLのサポート デバイスにカスタム・フィンガープリントとしてFlashが含まれている場合、デジタル・フィンガープリントには、OSタイプ、ブラウザ・タイプ、プレーヤ・タイプ、音声対応、MP3対応、ストリーミング音声のサポートなどのFlashフィンガープリント詳細が表示されます。Flashがデバイスに関連付けられていない場合、Flashフィンガープリント詳細およびパラメータは表示されません。 収集するデジタル・フィンガープリントのタイプをFlashから(たとえば)QuickTimeに変更することを決定した場合、「フィンガープリント詳細」パネルには、現在の(最新の)フィンガープリント(QuickTime)のみが表示されます。「フィンガープリント・データ」タブをクリックすると、そのデバイスのすべてのフィンガープリント詳細を確認できます(ブラウザ、FlashおよびQuickTimeが表示されます)。

5.3.23.6 セッション・ロケーション

表5-30「ロケーション詳細」に、「セッション詳細」ページの 「ロケーション」タブに表示される一般的なロケーション情報を示します。

表5-30 ロケーション詳細

IP詳細	説明
IPアドレス	通常はロケーションにマップされるアドレスですが、不明またはプライベートなアドレスもあります。
市区町村名	市区町村の地理的な名前。
都道府県名	都道府県の地理的な名前。
国名	国の地理的な名前。
最終使用日	ロケーションが最後に使用された日付。
接続スピード	インターネット接続スピードまたは帯域幅(高、中、低)。
接続タイプ	デバイスまたはLANとインターネット間のデータ接続を示します。「接続タイプ・マッピング」を参照してください。
ルーティング・タイプ	ユーザーがインターネットにルーティングされる方法を示します。
Carrier	ASNエンティティを管理するエンティティの名前。
AOL	接続がAOLだったかどうか。
ASN	単一のエンティティによって管理されるネットワークまたはネットワークのグループに割り当てられたグローバルに一意の番号。
Top-level Domain	URLのトップ・レベル・ドメイン。たとえば、www.company.comのcom。これはQuova参照ファイルを使用してマップされます。
Second-level Domain	URLの第2レベル・ドメイン。たとえば、www.company.comの名前。これはQuova参照ファイルを使用してマップされます。
City CF	正しい市区町村が識別されていることの信頼度係数(1-99)。
State CF	正しい都道府県が識別されていることの信頼度係数(1-99)。
Country CF	正しい国が識別されていることの信頼度係数(1-99)。

5.3.23.7 例による問合せ

「チェックポイン」および「トランザクション」表の上にある「例による問合せ」アイコンをクリックして、表問合せツールにアクセスします。「チェックポイン」または「トランザクション」表で、適切な問合せフィールドに文字列を入力して検索を開始します。「例による問合せ」では、問合せに基づいて表に結果が返されます。

表のチェックポイントは「チェックポイント名」、「最終アクション」、「リスク・スコア」および「実行時間」で、トランザクション表のトランザクションは「トランザクションID」、「トランザクション・タイプ」および「トランザクション・ステータス」で検索できます。たとえば、チェックポイント名として「認証前」を入力すると、表にセッションIDの認証前チェックポイントのみが表示されます。デフォルトでは、表問合せ用の「例による問合せ」フィールドが表示されます。

5.3.24 トランザクションの検索

トランザクション検索ページを使用すると、調査担当者はセッションとは関係なくトランザクションを検索できます。トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択する必要があります。トランザクション・タイプに基づいて、追加できる、対応するエンティティおよびトランザクション・フィールドが表示されます。これらはトランザクションの属性です。検索する属性の値を入力して、トランザクション結果をフィルタします。「トランザクション・タイプ」および「トランザクション日」フィールドは必須です。デフォルトでは、日付は過去24時間に設定されています。

いずれかのトランザクションをクリックして、「トランザクション詳細」ページを開きます。「グループに追加」機能は、示されているすべてのデータ型で使用できます。

トランザクションを検索するには、次の手順を実行します。

1. エージェント・ケース・ページで、「トランザクション」タブをクリックします。

2. トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択する必要があります。「トランザクション名」フィールドでトランザクション・タイプを選択します。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。

   
   

3. 「トランザクション日」フィールドに値を入力します。これらは必須です。デフォルトでは、日付は過去24時間に設定されています。

   特殊文字を入力すると、エラー・メッセージが表示されます。また、「終了日」を「開始日」より前にすることはできません。

4. 検索フィールドで、基準を入力し、検索演算子を使用して検索する問合せを絞り込み、トランザクション結果をフィルタして、「検索」をクリックします。

   
   

   表5-31に、トランザクションを検索およびフィルタするためのトランザクション・フィルタをリストします。

   表5-31 トランザクションの検索フィルタ

   フィルタ	説明
   トランザクション・タイプ	トランザクションのタイプ。たとえば、「インターネット・バンキング」や小売りE-Commerceなどです。「トランザクション名」フィールドは、検索をそのトランザクションに制限するための必須フィールドです。トランザクションのタイプを選択すると、検索に追加するために選択できる、対応する「トランザクション・データ」および「エンティティ・データ」フィールドがOAAM管理に移入されます。トランザクション名属性は複数選択できます。
   トランザクション日	トランザクション日は、トランザクションが送信された時点です。
   トランザクション・ステータス	トランザクション・ステータスは、トランザクションの現在の状態です。値は「成功」、「失敗」または「保留中」です。
   トランザクションID	トランザクションIDは、処理された各トランザクションに割り当てられる一意の数値参照です。
   セッションID	セッションIDは、カスタマがトランザクションを実行する前にログインする認証セッションの識別子です。
   組織ID	組織IDは不正調査担当者が所属する組織に固有の識別子です。各ユーザーは1つの組織のみに属しています。
   ユーザー名	ユーザー名は、ログイン認証で入力した名前です。
   アラート・レベル	アラートの重大度。「高」、「中」、「低」のいずれかです。
   国	国ID。
   都道府県	都道府県ID。「都道府県」リストには、「国」に選択された項目に基づいて動的にデータが移入されます。たとえば、「アメリカ合衆国」が選択されると、この国に選択できるすべての行政区画が「都道府県」に表示されます。
   市区町村	市区町村ID。「市区町村」リストには、「国」および「都道府県」に選択された項目に基づいて動的にデータが移入されます。
   IP範囲	IPアドレスの範囲。
   デバイスID	デバイス識別情報
   エンティティ・データ	エンティティ・データはエンティティに関連付けられている属性であり、検索用に選択された特定のトランザクション・タイプにマップされます。たとえば、「トランザクション名」に「インターネット・バンキング」を選択した場合は、BankNameという検索フィールドを追加できます。調査担当者は、これらの属性の対応する値を使用して検索を実行できます。
   トランザクション・データ	トランザクション・データには、トランザクション・タイプに関連付けられている特定の属性が含まれます。たとえば、送金ではToAccountNumberまたはFromAccountNumberです。

   
   
   
   

   注意: 暗号化されたフィールドによる検索はサポートされません。暗号化されたエンティティ・フィールドおよびトランザクション・フィールドは、トランザクションの検索フィルタとして使用できず、ドロップダウンに表示されません。

   
   

   特殊文字を入力すると、エラー・メッセージが表示されます。

5. フィルタを追加するには、「フィールドの追加」下矢印ボタンをクリックします。

   
   

6. パラメータのリストから、追加のフィルタを選択します。たとえば、Address.Zip。

7. 検索フィールドに基準を入力します。

8. 検索演算子を使用して、テキスト・フィールドで問合せを絞り込みます。たとえば、「次と等しい」。次に、「検索」をクリックします。

   検索基準に一致するトランザクションが「検索結果」表に表示されます。デフォルトでは、検索結果はセッションIDでソートされます。トランザクション名、トランザクション・ステータスおよび日付でソートできます。

   トランザクション名のリンクをクリックすると、トランザクションの詳細を表示できます。「トランザクション詳細」ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。

9. 関連するエンティティ・データを検索します。

10. 行を選択し、「エクスポート」をクリックして、検索結果をスプレッドシートにエクスポートします。上限は25行です。

11. 「グループに追加」オプションを使用して、さらにルール評価で使用できる、トランザクション、エンティティ・データおよび認証エンティティをグループに追加します。たとえば、ブラックリストに記載したアカウントや疑わしい業者などです。

5.3.25 単一トランザクション・タイプのエンティティによるトランザクションの検索

エンティティ属性を使用して、そのエンティティに関連するトランザクションをすべてリストする検索を実行できます。これを行うには:

1. エージェント・ケース・ページで、「トランザクション」タブをクリックします。

2. トランザクションを検索するには、特定のタイプによって特定のトランザクションをフィルタするためにトランザクション・タイプを選択する必要があります。「トランザクション名」フィールドでトランザクション・タイプを選択します。たとえば、「インターネット・バンキング」や小売E-Commerceなどです。

3. 「トランザクション日」フィールドに値を入力します。これらは必須です。

   特殊文字を入力すると、エラー・メッセージが表示されます。また、「終了日」の値は「開始日」の値より前にすることはできません。

4. トランザクション・タイプを選択した後に、エンティティ・データおよびトランザクション・データ検索フィールドを追加します。フィルタを追加するには、「フィールドの追加」下矢印ボタンをクリックします。

   • エンティティ・データは、検索対象として選択したトランザクション・タイプに関連する属性です。たとえば、「トランザクション・タイプ」として「インターネット・バンキング」を選択した場合は、検索フィールドBankNameを追加します。調査担当者は、これらの属性の対応する値を使用して検索を実行できます。

   • トランザクション・データには、トランザクション・タイプに関連付けられている特定の属性が含まれます。たとえば、送金ではToAccountNumberまたはFromAccountNumberです。

   
   

   「フィールドの追加」リストは、選択したトランザクション・タイプによって異なります。単一トランザクション・タイプの場合、特定のトランザクションのトランザクション・データおよびエンティティ・インスタンスが、トランザクション日、IP範囲、デバイスIDなどといったデフォルトの認証エンティティとともに表示されます。

5. 行を選択し、「エクスポート」をクリックして、検索結果をスプレッドシートにエクスポートします。上限は25行です。

6. 「グループに追加」オプションを使用して、さらにルール評価で使用できる、トランザクション、エンティティ・データおよび認証エンティティをグループに追加します。たとえば、ブラックリストに記載したアカウントや疑わしい業者などです。

5.3.25.1 エンティティ・フィールドによる検索のシナリオ

Jeffは不正調査担当者であり、OAAMによって生成されたケースを調べています。詳しい調査の結果、使用された住所が偽の住所であることがわかりました。調査担当者はこの住所を使用したすべてのトランザクションをリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。

フィルタ	エンティティ・フィールド
トランザクション名	電信送金
エンティティ	住所
住所1	建物番号123
住所2	偽の番地
住所の市区	偽の市区
住所の都道府県	偽の都道府県

5.3.25.2 ATMカードによるATMトランザクション検索のシナリオ

Jeffは不正調査担当者であり、盗難されたATMカードを使用した過去1週間のすべてのATMトランザクションを見つけて、損害を見積もる必要があります。彼は、エンティティ・フィールド属性を検索フィルタとして使用して、そのエンティティに関連するすべてのトランザクションをリストする検索を実行できます。ATMカード番号は、カード・エンティティのエンティティ・フィールドの1つです。Jeffは、ATMカード番号検索フィルタをトランザクション・タイプとともに使用して、そのATMカードを使用するすべてのトランザクションをリストします。

フィルタ	エンティティ・フィールド
トランザクション名	すべてのトランザクションを選択
エンティティ	ATM
ATMカード番号	xxxx xxxx xxxx 1234

5.3.25.3 すべてのアカウント番号および各送金の金額をリストするシナリオ

Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。

ユーザーJohnは疑わしく、銀行の異なるアカウント番号に複数回の電信送金を行っています。調査担当者は、すべてのアカウント番号および各送金の金額を結果にリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。

フィルタ	エンティティ・フィールド
トランザクション名	電信送金
エンティティ	カスタマ
エンティティの名	John
結果
トランザクション・データ	金額
エンティティ	アカウント
トランザクション・フィールド	宛先アカウント番号

5.3.26 エンティティおよびトランザクション・データの組合せによるトランザクションの検索

エンティティ・フィールド属性を使用して、そのエンティティに関連するトランザクションをすべてリストする検索を実行できます。これを行うには:

1. エージェント・ケース・ページの「トランザクション」タブをクリックします。

2. トランザクション検索ページで、単一のトランザクション・タイプおよびエンティティを選択します。すべての使用可能なエンティティ・フィールドが結果として表示されます。「フィールドの追加」リストを使用して検索するフィールドを追加することもできます。

3. 結果をフィルタするためのエンティティ属性値を入力し、「検索」をクリックします。検索結果には、トランザクション・ログが一致するエンティティ・データとともに含まれます。

   単一のトランザクション・タイプが選択されている場合、エンティティ・データ(および関連するエンティティ・データ)およびトランザクション・データの両方について、検索結果をフィルタできます。

4. 関連するエンティティ・データを検索します。

5.3.26.1 エンティティおよびトランザクション・データによる検索のシナリオ

Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。

ユーザーJohnは不正の疑いがあり、銀行のこのアカウント番号1234に対して複数回の電信送金を行っています。調査担当者は、トランザクションの数および各回の送金額を判別します。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。

フィルタ	エンティティ・フィールド
トランザクション名	電信送金
トランザクション・データ	宛先アカウント番号 - 1234
エンティティ	カスタマ
エンティティの名	John

5.3.27 複数トランザクション・タイプのエンティティによるトランザクションの検索

エンティティ属性を検索フィルタとして使用して、これらのトランザクション・タイプにわたってエンティティを検索できます。このシナリオは、トランザクション間において共通エンティティが共有されている場合に使用されます。

1. エージェント・ケース・ページの「トランザクション」タブをクリックします。

2. トランザクション検索ページで、ドロップダウン・リストからトランザクション・タイプとして「すべて」を選択します。すべての使用可能なエンティティ・フィールドが結果として表示されます。

   別の検索モードを使用して続行するには、まずトランザクション・タイプを選択する必要があります。トランザクション・タイプが選択されていない場合、トランザクション・データおよびエンティティ・データは移入されません。

3. 選択されたこれらのトランザクション・タイプにわたるエンティティのエンティティ属性フィールドおよび関連エンティティ属性フィールドを追加します。

   「フィールドの追加」リストは、選択したトランザクション・タイプによって異なります。複数またはすべてのトランザクションの場合、選択されたトランザクション・タイプ間で共通のトップ・レベル・エンティティのみが、その関係とともに表示されます。

   
   

   注意: トランザクション・データおよびエンティティ・インスタンスは表示されません。

   
   

4. 結果をフィルタするためのエンティティ属性値を入力し、「検索」をクリックします。検索結果には、トランザクション・ログが一致するエンティティ・データとともに含まれます。

   トランザクション名は、トランザクション・タイプおよびトランザクションIDの組合せです。たとえば、wiretransfer_12です。

   トランザクション名をクリックすると、「トランザクション詳細」ページが開きます。「トランザクション詳細」ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。

   
   

   注意: 結果で複数のトランザクションが選択された場合、「グループに追加」オプションは無効になります。

   
   

   デフォルトでは、検索結果はセッションIDでソートされます。トランザクション名、トランザクション・ステータスおよび日付でソートすることもできます。単一セッション内の複数のトランザクションの場合、結果はセッションIDでソートされるため、隣り合った結果が自動的にグループ化されます。

   アラートの表示はセッションの検索に似ています。ポインタを置くと、アラート・メッセージを発生数とともに表示できます。

   
   

   注意: 関連エンティティ・データは検索できません。

   
   

5. 関連するエンティティ・データを検索します。

6. 検索テンプレートを結果レイアウトとともに保存して、必要に応じて再使用できます。検索テンプレートの1つをデフォルトの検索ページとして設定することもできます。

7. 検索結果をスプレッドシートにエクスポートします。上限は25行です。

5.3.27.1 異なるトランザクションにおけるクレジット・カード検索(ショッピング・カートおよび小売りE-Commerce)のシナリオ

Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。詳しい調査の結果、使用されたクレジット・カードが盗難されたクレジット・カードであることがわかりました。このクレジット・カードは、ショッピング・カート、小売りE-Commerceなどの様々なトランザクションで使用された可能性があります。調査担当者は、過去1週間以内にこのクレジット・カードが使用された異なるトランザクションをすべてリストして、損害を見積もります。カード番号は、エンティティ・フィールドの1つです。調査担当者はすべてまたは複数のトランザクション・タイプを選択して、エンティティ・フィールドで検索します。

フィルタ	選択項目
トランザクション・タイプ	すべてのトランザクションを選択
エンティティ	クレジット・カード
クレジット・カード番号	xxxx xxxx xxxx 1881

5.3.28 セッション検索ページから詳細ページを開く

対応する詳細ページを開いて追加情報を表示するには、セッションID、ユーザー名、デバイスID、IPアドレス、ロケーションおよびアラートをクリックします。

注意: チェックポイントが実行されていない場合、「認証前」または「認証後」チェックポイントに-1のスコアが表示されます。

表5-32 セッション検索結果

開く詳細ページ	クリックするリンク
「セッション詳細」ページ	セッションIDのリンク セッション・リストまたはその他のページからセッションIDのリンクをクリックすると、そのセッションに関する総合情報を示す、対応する「セッション詳細」ページが開きます。
「トランザクション詳細」ページ	「その他」ボタンをクリックしてから、特定のトランザクションのリンクをクリックします。トランザクションに関する一般情報、およびトランザクションのエンティティおよび属性値を含むトランザクション・データを示す「トランザクション詳細」ページが開きます。
「アラート詳細」ページ	他のページ(セッション詳細、その他の詳細ページおよびエージェント・ページ)のアラート・メッセージのリンク 他のページ(セッション詳細、その他の詳細ページおよびエージェント・ページ)からアラート・メッセージのリンクをクリックすると、「アラート詳細」ページが開きます。「アラート詳細」ページでは、メッセージ、レベル、メッセージのタイプ、および他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システム、ロケールなど)との相互参照に関する情報を提供します。さらに、アラートが生成された1つ以上の理由に関する情報も提供されます。
「ユーザー詳細」ページ	他のページのユーザー名またはユーザーIDのリンク 他のページからユーザー名またはユーザーIDのリンクをクリックすると、そのユーザーに関する追加の詳細を示すユーザー詳細ページが開きます。
「デバイス詳細」ページ	セッション詳細またはその他のリスト・ページのデバイスIDのリンク セッション詳細またはその他のリスト・ページでデバイスIDのリンクをクリックすると、対応する詳細ページが開きます。このページには、他のデータ型(ユーザー、ロケーション、アラート、ブラウザ、セッション、フィンガープリント・データの全リストなど)との相互参照を含むデバイスの詳細が表示されます。
IPアドレス詳細ページ	セッション・リストまたはその他のページのIPアドレスのリンク セッション・リストまたはその他のページからIPアドレスのリンクをクリックすると、そのIPロケーションに関する追加の詳細を示す、対応するIPアドレス詳細ページが開きます。
ロケーション詳細ページ	セッション・リストまたはその他のページの国、都道府県または市区町村のリンク セッション・リストまたはその他のページから国、都道府県または市区町村のリンクをクリックすると、そのロケーションに関する追加の詳細を示す、対応するロケーション詳細ページが開きます。
「フィンガープリント詳細」ページ	セッション詳細またはリスト・ページのデジタル・フィンガープリントIDまたはブラウザ・フィンガープリントIDのリンク セッション詳細またはリスト・ページからデジタル・フィンガープリントIDまたはブラウザ・フィンガープリントIDのリンクをクリックすると、フィンガープリント詳細ページが開きます。フィンガープリント詳細ページでは、フィンガープリントに関する基本情報、デバイスのフィンガープリント生成時に収集されたデータ、使用されたユーザー、デバイスおよびロケーションのリスト、そして特定の期間においてフィンガープリントの生成が行われたログイン・セッションのリストが提供されます。

最大10個のタブに、別の詳細ページから詳細ページが開きます。詳細ページのタブには、詳細ページを起動できるリンク・パラメータも含まれます。

注意: マルチテナントが有効になっている場合、調査担当者はOAAM管理コンソールのどこからも詳細ページにアクセスできません。

5.3.29 セッションの特定のアラートの表示

アラートの詳細には、メッセージ、レベル、タイプ、および他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システム、ロケールなど)との相互参照が含まれます。調査担当者は「アラート詳細」ページを使用して、このアラートを生成したユーザー間の関係のみではなく、このアラートの生成時に使用されていたロケールといった、役に立つ可能性のある他のデータの関係もすばやく確認できます。

あるセッションに対してトリガーおよび生成された特定のアラートを表示するには、次の手順を実行します。

1. 「セッション」タブをクリックして、セッション検索ページを開きます。

2. 「セッションID」フィールドにセッションIDを入力し、「アラート・メッセージ」フィールドにアラート・メッセージを入力して、「検索」をクリックすることにより、セッションを検索します。

3. 結果表で、「アラート」列のアラートの横にあるオレンジ色の四角をクリックして、アラート・メッセージのポップアップ画面を表示します。

4. ポップアップ画面に表示されたアラート・メッセージをクリックして、「アラート詳細」ページを開きます。

5. 詳細ページを使用して、アラートの生成に関する情報、メッセージ、アラート・レベル、メッセージ・タイプおよびその他のデータ型(ユーザー、デバイス、ロケーション、セッション、ブラウザ、オペレーティング・システムおよびロケールなど)とアラートとの関係を表示します。

   表5-33に、詳細ページと各ページで提供される情報のタイプをリストします。

   表5-33 「アラート詳細」タブ

   「アラート詳細」タブ	説明
   サマリー	アラートに関する一般情報および現在の詳細(レベル/タイプ)を含むアラート・テンプレートを表示します。 アラートが関連付けられているアラート・グループを表示します。
   ユーザー	このアラートがトリガーされたセッションを持つユーザーを表示します。 このレポートを使用すると、ログイン・プロセス中にどのユーザーにアラートが生成されたか、およびユーザーごとのアラートの生成回数を確認できます。
   デバイス	このアラートがトリガーされたセッションに含まれていたデバイスを表示します。 このレポートを使用すると、ログイン・プロセス中にどのデバイスにアラートが生成されたか、およびデバイスごとのアラートの生成回数を確認できます。
   ロケーション	このアラートがトリガーされたセッションに含まれていたロケーションを表示します。 このレポートを使用すると、ログイン・プロセス中にどのロケーションにアラートが生成されたか、およびロケーションごとのアラートの生成回数を確認できます。
   セッション	このアラートがトリガーされたセッションを表示します。
   フィンガープリント・データ	アラートが生成されたログイン・プロセスで作成されたフィンガープリントを表示します。

   
   

5.3.30 トランザクション検索結果の表示

トランザクション検索ページで「検索」をクリックすると、基準に一致するトランザクションが結果表に表示されます。

図5-15 トランザクション検索結果の表示

表5-34に、トランザクション検索結果の列をまとめます。

表5-34 トランザクション検索結果

データ	定義
トランザクション・タイプ	トランザクションのタイプ。トランザクション検索結果でトランザクション名のリンクをクリックすると、そのトランザクション・インスタンスに関する詳細タブが開きます。タブにはトランザクションおよびエンティティ・データに加え、セッション・データが含まれています。このフィールドでは、特定のトランザクションの「トランザクション詳細」ページへのリンクが提供されます。
トランザクションID	トランザクションのID。このフィールドでは、特定のトランザクションの「トランザクション詳細」ページへのリンクが提供されます。
トランザクション・ステータス	トランザクションのステータス。
アラート	トランザクション・インスタンスのアラート。アラートのリンクをクリックすると、「アラート詳細」ページへのリンクを含むアラート・サマリー・ポップが開きます。
トランザクション日	トランザクションが発生した日付。
セッションID	ユーザーのセッションID。セッションIDのリンクをクリックすると、「セッション詳細」タブが開きます。

検索結果でトランザクション・タイプのリンクをクリックすると、トランザクションの詳細を表示できます。「トランザクション詳細」ページには、セッション情報とともに、トランザクションおよびエンティティ・データのランタイム値が表示されます。

デフォルトでは、検索結果はセッションIDでソートされます。トランザクション・タイプ、トランザクション・ステータスおよびトランザクション日でソートすることもできます。

5.3.30.1 トランザクション詳細表示のシナリオ

Jeffは不正調査担当者であり、OAAMにより生成されたケースを調べています。ユーザーJohnは疑わしく、銀行の異なるアカウント番号に複数回の電信送金を行っています。調査担当者は、すべてのアカウント番号および各送金の金額を結果にリストします。調査担当者は、エンティティ・フィールドで検索する特定のトランザクション・タイプを選択します。

フィルタ	エンティティ・フィールド
トランザクション名	電信送金
エンティティ	カスタマ
エンティティの名	John
結果
トランザクション・データ	金額
エンティティ	アカウント
トランザクション・フィールド	宛先アカウント番号

Jeffがいずれかの検索結果を選択してトランザクション名のリンクをクリックすると、「トランザクション詳細」ページが表示されます。

5.3.31 新規ケースへのセッションのリンク

セッションをケースにリンクするには:

1. セッションを新規エージェント・ケースまたは既存のケースにリンクするには、セッションを選択し、ツールバーで「ケースへのリンク」をクリックします。

   次の手順を示したダイアログが表示されます。「ケースを開いてセッションをリンクします。既存のケースを検索して選択するか、新規ケースを作成し、セッションをリンクしてください。」「新規ケースの作成」、「既存のケースを開く」および「取消」の3つのボタンが表示されます。

2. 「新規ケースの作成」をクリックします。

   詳細の入力手順を示す「ケースへのリンク」ダイアログが表示されます。ケース・タイプはエージェントであり、変更できません。

3. 次のフィールドに詳細を入力します。

   • 組織ID

   • 重大度レベル: 選択項目は「低」、「中」、「高」です。

   • 事前に作成した説明: 選択項目は、ログインできない、「質問の回答忘れ」、「不正の可能性」および「OTPオーバーライド」です。

   • 説明

4. 「次」をクリックします。

   次のメッセージを示す別の「ケースへのリンク」ダイアログが表示されます。「次のセッションがケースcase_numberにリンクするために選択されています。このアクションのノートを入力してください。」

   リンク処理の一環として、セッションをリンクした理由を説明するノートを入力します。

5. 「事前に作成したノート」を入力します。選択項目は、「これらのセッションには不正の疑いがあります。」および「これらのセッションには企業による誤用があります。」です。

6. 「セッションのリンク」をクリックします。「選択したセッションが正常にケースcase_numberにリンクされました。」というメッセージを示すダイアログが表示されます。

7. 「OK」をクリックしてダイアログ・ボックスを閉じます。

ケース・ログには、リンク・アクションを実行したユーザーとともにノートが記録されます。調査担当者またはマネージャによってリンクが解除されないかぎり、これらのセッションはケースにリンクされたままになります。

5.3.32 ケース詳細からケースへのセッションのリンク

セッションをリンクするには、次の手順を実行します。

1. 「ケース詳細」ページで、「リンク・セッション」タブをクリックします。

2. 「セッションのリンク」ボタンをクリックします。

   図5-16 リンク・ボタン

   
   

   調査担当者が追加するセッションを検索できる、「リンク・セッション」ダイアログが開きます。

3. セッションID、ユーザー名、IPアドレス、デバイスIDおよびロケーションでセッションをフィルタし、特定のログイン時間範囲を指定します。

   図5-17 リンク・セッション検索

   
   

4. 結果から、このケースにリンクするセッションを選択し、「次」をクリックします。

   1つ以上のリンクするセッションを一度に選択します。これらは、調査が必要なケースの一部であるセッションです。

   ケースにリンクできるセッションを示すダイアログが表示されます。

   図5-18 リンクに関するノートの追加

   
   

5. 「ノート」フィールドで、ノート・リストからノートを選択するか、セッションがリンクされる理由を記述する1から4000文字のノートをテキスト・ボックスに入力します。

6. 「終了」をクリックします。

   ケースにセッションがリンクされ、「リンク・セッション」タブに表示されます。

5.3.33 エンティティのグループの検証

エンティティのグループを検証できます。たとえば、あるトランザクションで使用されたアカウント番号が疑わしいアカウント・グループに属しているかどうかを検証して、そのトランザクションをブロックする必要がある場合です。使用する条件は、「トランザクション: フィルタ条件を使用したトランザクション件数の確認」です。

5.3.34 詳細分析のためのリンク・セッションのエクスポート

調査担当者は1つ以上のリンク・セッションを選択し、それらを詳細分析のためにMicrosoft Excelドキュメント(XLS)としてエクスポートできます。Microsoft Excelドキュメントのエクスポートのみを行えます。

エクスポートできるリンク・セッションの最大数は1000に事前構成されています。制限を変更するには、次の構成可能なプロパティを編集します。

oaam.xls.case.linkedsession.export.row.upperbound=1000

詳しい調査および分析のためにリンク・セッションをエクスポートするには:

1. 「ケース詳細」ページで、「リンク・セッション」タブをクリックします。

   すべてのリンク・セッションがリストされた「リンク・セッション」ページが開きます。

2. リンク・セッションを選択し、「リンク・セッションのエクスポート」をクリックします。

3. 「ファイルの保存」を選択し、ファイルを保存するロケーションを参照して、「エクスポート」をクリックします。

   次の詳細とともにセッションがエクスポートされます。

   • 行

   • セッションID

   • リンク日

   • ユーザー名

   • デバイスID

   • デバイス・スコア

   • IPアドレス

   • ロケーション

   • トランザクション

   • アラート

   • セッション日

   • ノート

5.3.35 リンク・セッションのリンク解除

調査担当者が、リンク・セッションがケースとは無関係であると判断した場合、それらをそのケースからリンク解除できます。

リンク・セッションをリンク解除するには:

1. 「ケース詳細」ページで、「リンク・セッション」タブをクリックします。

2. ツールバーで「セッションのリンク解除」をクリックします。

   リンク解除することを選択したすべてのセッションがリストされた「セッションのリンク解除」ダイアログが開きます。

3. セッションをリンク解除する理由に関するノートを入力します。

4. リンク解除するリンク・セッションを選択して、「リンク解除」を押します。

   セッションがケースからリンク解除されます。

5.3.36 後での参照、移植性およびオフライン調査のためのケース詳細の保存

サマリー、ログ・リスト、リンク・セッションを含むケース詳細を、後での参照、移植性およびオフライン調査のためにXLS形式のファイルに保存します。

ケース検索ページからケース詳細を保存するには:

1. 「検索結果」表からケースを選択し、「XLSにエクスポート」をクリックします。

2. 「エクスポート」ダイアログが開いたら、Microsoft Excelにファイルを保存することを選択します。

「XLSにエクスポート」をクリックすることに加え、ケースのサマリー、ケースのログおよびケースの「リンク・セッション」ページからケース詳細を保存することもできます。

注意: エクスポートするために選択できるデフォルトの行数は100行です。100行を超える行をエクスポートするために選択しようとすると、エラーが発生します。

5.3.37 調査およびフォレンジック用OAAM BI Publisherレポートの使用

この項では、調査およびフォレンジックにおけるレポートの2つの使用例について説明します。BI Publisherレポートの設定の詳細は、第24章「レポートおよび監査機能」を参照してください。

5.3.37.1 セッション・アクティビティ集計

BI Publisherレポートは、チェックポイントの結果を表示するために使用できます。

• チェックポイントごとの各アクションの合計数

• チェックポイントごとの各アラートの合計数

• チェックポイントごとのリスク・スコア範囲(0から600、601から800、801から1000)を持つセッションの合計数

ログイン分析集計レポート

たとえば、Georgeはセキュリティおよびコンプライアンス担当者です。彼は、リアルタイムではコストが高すぎて実行できないと考えられるログイン・リスク評価を、オフラインで実行するためのソリューションを構成するように依頼されました。標準の実行タスクを使用し、選択項目に含まれるすべてのセッションに対してチェックポイントのログイン・チェーン全体を実行します。ロードおよび実行が完了したら、Georgeは、認証前および認証後データにおける各アクション、アラート、リスク・スコアの合計数のメトリック示す集計レポートを生成します。

たとえば、Georgeはセキュリティおよびコンプライアンス担当者です。彼は、新規ポリシーを本番環境にロール・アウトする前にテストするためのログイン・リスク評価をオフラインで実行するソリューションを構成するように依頼されています。あるポリシー構成と別のポリシー構成間における結果の違いを確認するためのテストを行う際、彼はポリシー・セットAを使用してテストを実行してから、このレポートを実行し、HTMLにエクスポートします。次に、彼はポリシー・セットBを使用して同じことを行い、2つのレポートを比較して、ポリシーの変更が予期したとおりに動作しているかどうかを確認します。

5.3.37.2 ケース処置によるセッションの検索

調査マネージャおよびビジネス・アナリストである場合は、OAAMおよび自分の不正チームの有効性を評価できます。調査の過程で、指定した処置とともにケースにリンクされているすべてのセッションを返すレポートを実行できます。結果には、各セッションがリンクされているケースIDが示されます。

ケース処置によるセッションの検索レポート

マネージャは、週末にレポートを実行して、組織IDが「Sears」であり、「確認済不正」の処置によってケースにリンクされているすべてのセッションのリストを検索します。

5.4 ケースの管理

ケースの管理手順を次に示します。

5.4.1 エージェント・ケースの検索

ケースとは、調査担当者が調査中に収集する詳細を格納するためのコンテナです。ケースが作成されたら、そのケースを検索して詳細を表示します。

一般的なケース検索

ケースが作成されたら、そのケースを検索して詳細を表示します。

ケースを検索するには

1. ケース検索ページから、検索フィルタおよびフィールドを使用して検索をフィルタします。

   表5-35では、ケース検索フィルタについて説明しています。

   表5-35 検索フィルタ

   検索基準	説明
   組織ID	組織のケースを検索するには、「組織ID」を選択します。不正調査担当者は、組織にアクセス権があるケースのみを確認できます。不正調査担当者がアクセス権を持つ組織IDに関連付けられているエスカレーション済ケースも、それが問合せ基準に一致している場合には、検索結果に含まれます。
   ユーザー名	エージェント・ケースの「ユーザー名」フィールドは空白です。ユーザー名は、ユーザーがログインするために使用する識別子です。ユーザー名と組織IDの組合せは、ユーザーがアプリケーションにアクセスするための一意の識別子です。
   ユーザーID	エージェント・ケースの「ユーザーID」フィールドは空白です。
   ケースID	特定のケースを検索するには、ケースIDを入力します。
   説明	説明に含まれるキーワードでケースを検索するには、目的の語を入力します。説明で検索すると、「説明」フィールドに一致する語が含まれるすべてのケースが表示されます。
   ケース・タイプ	ケース・タイプでケースをフィルタリングするには、「エージェント」を選択します。エージェント・ケースを操作するのは調査担当者および調査マネージャです。エージェント・ケースは特に、不正調査担当者および調査マネージャによるデータ分析およびセッションとケースの関係の特定に使用されます。
   重大度レベル	重大度レベルでケースを検索するには、「低」、「高」または「中」を選択します。重大度レベルは、このケースの重大度をケース担当に伝えるマーカーです。重大度レベルは、ケースの作成者が設定します。
   ケース・ステータス	ケース・ステータスでケースをフィルタリングするには、「新規」、「保留中」、「クローズ済」または「エスカレーション済」を選択します。
   有効期限切れ	有効期限切れかどうかでリストをフィルタリングするには、必要なオプションを選択します。 使用できるオプションは次のとおりです。 有効期限切れの非表示 有効期限切れのみ表示
   作成日	指定の作成日範囲内に作成されたケースを検索するには、範囲の開始日および終了日を入力します。
   処置	処置でケースをフィルタリングするには、次のいずれかを選択します。 確認済不正 重複 偽陰性 偽陽性 問題保留中 問題解決済 不正ではない 処置は、ケース内の問題が解決された方法を示します。ケースに処置が存在するのは、クローズされている場合のみです。 移行の詳細: 「偽陰性」、「偽陽性」、「問題保留中」および「問題解決済」は、リリース11.1.2.1の前に使用されていた処置でした。これらは11.1.2.1では使用されていません。 「ケース詳細」ページには、11.1.2.1以前のエージェント・ケースに対応する処置が表示されます。 ケースの検索では、新しい処置だけでなく、旧バージョンの処置でも検索できます。
   最終アクション	ケースで実行された最終アクションに基づいて検索します。
   ノート	ログに特定のキーワードが含まれるケースを検索します。たとえば、支払拒否という語が含まれるすべてのエージェント・タイプ・ケースを検索する場合、「使用デバイスは支払拒否数に関連します」という文が含まれるノートを持つケースがケース・リストに返されます。
   作成者	ケースを作成した調査担当者のユーザー名で検索します。
   現在の所有者	このケースを現在使用している(最終アクションを実行した)調査担当者のユーザー名で検索します。

   
   

2. 「検索」をクリックします。

   ケースが検索されたら、「ケースID」をクリックしてケース詳細を表示します。

   特定のケースが見つかった場合、複数の異なるタスクを実行するオプションを使用できます。この点についてはこの章で説明します。

3. 検索テンプレートを結果レイアウトとともに保存して、必要に応じて再使用するには、「保存」をクリックします。検索テンプレートの1つをデフォルトの検索ページとして設定することもできます。

注意: マルチテナントが有効になっている場合、検索結果には、CSRがアクセス権を持っている組織に属するユーザーのケースのうち、検索基準に一致するものがすべて表示されます。ユーザーなしのケースの場合、ケース所有者の組織IDが調査担当者のアクセス権リストに含まれており、ケースが検索基準に一致する場合に、ケースが結果セットに含まれます。

処理する自動生成されたケースの検索

自動生成されたケースから調査を実行する場合は、手始めに新しく自動生成されたケースを検索します。

処理する自動生成されたケースを検索するには、次の手順を実行します。

1. ケース検索ページから、最新の時間ですべてのエージェント・ケースをフィルタし、「ケース・ステータス」フィールドで「新規」を選択します。次に「検索」をクリックします。

   たとえば、過去2時間に作成された自動生成ケースを検索するには、次のように選択します。

   
   

2. 結果表には「ケースID」列が含まれており、これは「ケースID」列ヘッダーをクリックして昇順または降順でソートできます。その隣にある上矢印および下矢印は、データの現在の順序を示します。「ケースID」列ヘッダーをクリックして、結果を昇順でフィルタします。最小のケースID番号が最も古いものです。

   
   

3. ケースIDをクリックしてケースを開きます。

   「新規」ステータスを持つケースに調査担当者がアクセスして処理を開始すると、ステータスが自動的に「保留中」に変わり、「現在の所有者」が調査担当者になります。

   「ケース詳細」ページでは、現在の所有者およびケース・ステータスに関する情報を提供します。

   
   

   他の調査担当者は、このケースが現在使用中であると判別できるようになります(ケースに所有者が設定され、ステータスが「新規」ではなく「保留中」であるため)。調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。

エスカレーション済ケースの検索

エスカレーション済ケースから調査を実行する場合は、まず保留中のエスカレーション済ケースを検索します。

処理するケースを検索するには、次の手順を実行します。

1. ケース検索ページから、時間ですべてのエージェント・ケースをフィルタし、「ケース・ステータス」フィールドで「エスカレーション済」を選択します。「ユーザー名」フィールドでユーザー名を指定できます。次に「検索」をクリックします。

   たとえば、昨日エスカレーションされたsmithのケースを検索するには、次のように選択します。

   
   

2. 結果表には「ケースID」列が含まれており、これは「ケースID」列ヘッダーをクリックして昇順または降順でソートできます。その隣にある上矢印および下矢印は、データの現在の順序を示します。「ケースID」列ヘッダーをクリックして、結果を昇順でフィルタします。最小のケースID番号が最も古いものです。

   
   

3. ケースIDをクリックしてケースを開きます。

   「新規」ステータスを持つケースに調査担当者がアクセスして処理を開始すると、ステータスが自動的に「保留中」に変わり、「現在の所有者」が調査担当者になります。

   「ケース詳細」ページでは、現在の所有者およびケース・ステータスに関する情報を提供します。

   
   

   他の調査担当者は、このケースが現在使用中であると判別できるようになります(ケースに所有者が設定され、ステータスが「新規」ではなく「保留中」であるため)。調査担当者は、他の調査担当者が使用中のケースを開かないことがベスト・プラクティスです。

作成者による検索

過去n時間に特定の調査担当者によって作成されたすべてのエージェント・タイプ・ケースを検索できます。

1. ケース検索ページから、時間ですべてのエージェント・ケースをフィルタします。

2. 「作成者」フィールドに調査担当者の名前を入力します。次に「検索」をクリックします。

   そのユーザーによって手動で作成されたすべてのケースのリストが表示されます。

実行されたアクションによるケースの検索

調査担当者は、ケースで実行されたアクションに基づいて、CSRケースおよびエージェント・ケースの両方を検索できます。

例: 昨日、jsmithはカスタマ・サービスに電話をかけ、自分のアカウントからお金が失われていることを伝えました。CSRはケースをエスカレーションし、jsmithに24時間以内に連絡することを伝えました。36時間後、jsmithは再度電話をかけて、連絡がない理由を尋ねます。調査担当者は、jsmithに対して昨日エスカレーションされたケースを表示する必要があります。彼は、「エスカレーション」アクションを含むjsmithのケースおよび期限超過していないケースを検索します。

1. ケース検索ページの「ケース・タイプ」フィールドで「エージェント」を選択します。

2. 「ユーザー名」フィールドにjsmithと入力します。

3. ケース・タイプとして「エスカレーション済」を選択します。

   そのユーザーによって手動で作成されたすべてのケースのリストが表示されます。

4. 「過去24時間」でエスカレーション済ケースをフィルタし、「検索」をクリックします。

   「検索結果」表に、jsmithのエスカレーション済ケースが表示されます。

ケース・ステータスによるケースの検索

エージェント・ケースの検索ページには、調査担当者が検索するケース・ステータス用のフィールドがあります。ケース・ステータスは、ケースの現在の状態です。これにより調査担当者は、処理するケースを検索するときに、調査が新規、保留中、クローズ済またはエスカレーション済のいずれであるのかを判別できます。表5-36に、ケースに使用されるステータス値を示します。

表5-36 ケース・ステータス

ステータス	定義
新規	新規ケースとは、作成されているが、まだ処理されていないケースです。これはケースの作成時のステータスです。ケースは、構成可能なアクションによって作成された(自動生成された)場合に新規になります。
保留中	調査担当者が使用中の調査は保留中になります。まだ解決されていないケースのステータスです。手動で作成されたケースは、作成時に保留中になります。
クローズ済	クローズ済ケースとは、問題が解決されているため、それ以上の調査を必要としないケースのことです。クローズ済ケースには、そのケースでどのように問題が解決されたかを記述する処置が含まれます。ケースに処置が存在するのは、クローズされている場合のみです。たとえば、不正が特定された場合、不正調査担当者は調査結果を記録し、ケースに関連する高リスク・エンティティをブラックリストに記載して、処置とともにケースを閉じます。
エスカレーション済	エスカレーション済ケースとは、カスタマ・サービス・ケースから発生するケースです。ケース内の特定のユーザーに関連する疑わしいアクティビティがある場合、CSRは調査担当者に確認してもらうためにCSRケースを送信します。たとえば、CSRマネージャがCSRケースをエスカレーションします。カスタマ固有のセキュリティに関する問題を専門とする調査担当者が、「エスカレーション済」ケース・ステータスを持つすべてのケースを検索します。

処置によるケースの検索

調査担当マネージャは、確認済の不正の処置を持つすべてのエージェント・タイプ・ケースを検索します。

1. ケース検索ページの「ケース・タイプ」フィールドで「エージェント」を選択します。

2. 「処置」フィールドで「確認済不正」を選択し、「検索」をクリックします。

   調査担当者によって不正と確認されたすべてのケースのリストが「検索結果」表に示されます。

5.4.2 エージェント・ケースの作成

ケースの作成手順を次に示します。

5.4.2.1 エージェント・ケースの手動作成

新規エージェント・ケースは、疑いのあるアクティビティまたは不正なシナリオが検出され、調査が必要な場合に作成されます。エージェント・タイプ・ケースを直接作成できるのは調査担当者のみです。エージェント・タイプ・ケースの作成では、ユーザー情報は表示されず、また必要ありません。エージェント・ケースを作成するために入力する必要があるのは、組織ID、重大度レベルおよび説明のみです。

調査担当者は、一度に1つのエージェント・ケースを開いて処理できます。オープン・ケースを含むタブを複数開くことはできません。別のケースを開いた状態にしたままでエージェント・ケースを作成しようとすると、現在のケース・ワークフローが新規ケース・ワークフローに置き換えられるというメッセージを示す警告が表示されます。

すべてのフィールドに入力されるまで、「作成」ボタンは無効になっています。*(アスタリスク)は必須フィールドを示します。無効なパラメータが入力されると、エラー・メッセージが表示され、新規ケースは作成されません。

エージェント・ケースを作成するには:

1. ケース検索ページで、「新規ケース」をクリックします。

   調査担当者がこのケースを作成していることが、ログインからすでにシステムに通知されているため、ケース・タイプとして「エージェント」が指定された「ケースの作成」ダイアログが表示されます。ケース・タイプは変更できません。

2. 組織IDのみ、組織IDとユーザー名、またはユーザーIDのみを入力します。

   • ケースを作成する「組織ID」を入力します。

     アクセス権のある「組織ID」のリストが表示されます。リストから「組織ID」を1つ選択できます。後で必要に応じて、異なる組織IDのケースを作成できます。

     
     

     注意: エージェント・ケースはユーザーなしのケースであるため、ユーザー名またはユーザーIDを入力する必要はありません。

     
     

   • 「ユーザー名」フィールドにユーザー名を入力します。

     ユーザー名は、ユーザーがログインするために使用する識別子です。ユーザー名と組織IDの組合せは、ユーザーがアプリケーションにアクセスするための一意の識別子です。

   • 「ユーザーID」フィールドにユーザーIDを入力します。

3. 「重大度レベル」リストから重大度レベルを選択します。

   使用可能な重大度レベルは、「高」、「中」および「低」です。

4. 事前に作成した説明を選択してから、状況に応じて独自の詳細を追加します。事前に作成した説明、事前に記載したノートを選択すると、説明をすばやく入力できるため、時間が節約されます。

   事前に作成した説明が選択されると、「説明」テキスト・ボックスに説明が自動的に追加されます。リストから選択された各説明は、前の説明に追加されます。

   「事前に作成した説明」の選択肢は次のとおりです。

   • 不正の疑いがあるトランザクション

     不正であると思われるトランザクションの調査。

   • 不正の疑いがあるアクセス

     不正であると思われるアクセス・リクエストの調査。

   • コンプライアンス違反の疑い

     考えられるコンプライアンス違反の調査

   「説明」は必須フィールドです。

5. 「作成」をクリックします。

   ケースが作成され、新規ケースの「ケース詳細」ページが開きます。「ケース詳細」ページには、ケースのステータスとして「保留中」が示されます。調査担当者が「作成者」および「現在の所有者」フィールドに示されます。ケースは手動で作成されたエージェント・ケースであるため、ケース詳細にはユーザー詳細は示されません。新規エージェント・ケースには、リンク・セッションは含まれません。ログを表示すると、「ケースの作成」がアクションとして表示されます。

   図5-19にケースが最初に手動で作成されたときの「ケース詳細」ページを示します。

   図5-19 「ケース詳細」ページ

   
   

手動によるエージェント・ケースの作成例

調査担当者は、1st Bankという組織IDに対してエージェント・タイプ・ケースを作成します。他のタイプのケース(CSRケース)は作成できません。「組織ID」は必須フィールドです。新規エージェント・ケースには、リンク・セッションは含まれません。エージェント・ケースはどのユーザーにもリンクされていないため、ケースを作成するためにユーザー情報を入力する必要はありません。

5.4.2.2 他のエージェント・ケースと同様のケースの作成

既存のエージェント・ケースと類似または同様のケースを作成するには:

1. ケース検索ページの「検索結果」表で、ケースの隣にあるチェック・ボックスを選択して、エージェント・ケースを選択します。

   「検索結果」表で複数の行が選択された場合、「類似作成」ボタンは無効になります。

2. 「類似作成」ボタンをクリックします。

   元のケースから、組織ID、重大度レベルおよび説明が事前移入された「ケースの類似作成」ダイアログが表示されます。

3. これらのフィールドを編集します。

   すべてのフィールドに入力してください。

4. 「作成」をクリックします。

   変更を取り消してケース検索ページに戻るには、「取消」をクリックします。

   「作成」をクリックして、ケースを作成します。

   元のケースのデータおよび変更内容を含む新規エージェント・ケースが作成され、新規ケースの「ケース詳細」ページが開きます。エスカレーション済エージェント・ケースと同様に作成された新規エージェント・ケースには、ユーザー・データは含まれません。ケース・ステータスは「保留中」です。

5.4.2.3 検索して選択および新規ケースの作成機能

調査担当者は、ケースを開いていない場合に、「検索して選択」および「新規ケースの作成」リンクを使用して、ケースを選択するか新規ケースを作成できます。「ケースを検索して選択」リンクにより、ケース検索ページが開きます。「新規ケースの作成」により、ケースを作成できる「ケースの作成」ダイアログが開きます。

5.4.2.4 エージェント・ケースを自動的に作成するためのOAAMの設定

エージェント・ケースが自動的に作成されるようにアクションを構成するには、次のことを行う必要があります。

• create_agent_caseという名前のカスタム・ルール・アクションを作成します。

• 適切なチェックポイントのポリシーに、必要なルール条件を持つルールを追加します。指定した条件が満たされるたびに、アクションcreate_agent_caseをトリガーして戻すようにこれを構成します。たとえば、疑いのあるアクティビティが発生するたびに、「エージェント・ケースの作成」アクションがトリガーされます。

手順は次のとおりです。

1. アクション・テンプレートCaseCreationActionのアクション・インスタンスを作成し、これをチェックポイントに関連付けます。

   1. セキュリティ管理者としてログインします。

   2. ナビゲーション・ツリーで、「構成可能なアクション」を開きます。

   3. 「アクション・インスタンス」をダブルクリックします。

      アクション・インスタンス検索ページが表示されます。

   4. アクション・インスタンス検索ページから、「新規アクション・インスタンス」をクリックします。

      「エージェント・ケースの作成」アクションを作成するための詳細を入力できる、「新規アクション・インスタンス」ページが表示されます。

   5. 「アクション・テンプレートの選択」をクリックします。

   6. CaseCreationActionを選択します。構成可能なアクションのJavaクラス名は次のとおりです。

      com.bharosa.vcrypt.tracker.dynamicactions.impl.CaseCreationAction
      

      このCreateCaseAction構成可能アクションは、OAAMで標準として提供されます。

   7. 「名前」フィールドに、「エージェント・ケースの作成」と入力します。

   8. 「説明」フィールドに、「エージェント・ケースの作成」アクションの説明を入力します。

   9. 「ログ・レベル」フィールドにログ・レベルを入力します。

      ログ・レベルは、インスタンスの実行ステータスを記録する必要があるかどうかを示します。

      「無効化」にするとロギングがオフになります。

      「有効化」にするとロギングがオンになります。

      「エラーの場合にログ」にすると、エラーが発生した場合にロギングがオンになります。

      エラーがある場合にのみ、実行ステータスがログに記録されます。それ以外の場合は、インスタンスのトリガーはログに記録されません。

2. 「エージェント・ケースの作成」アクションのパラメータを次のように設定します。

   1. 「ケース・タイプ」の値として2 (エージェント・タイプ)を入力します。

   2. 「重大度」に2 (中)または3 (高)を入力します。

   3. ケースの説明を入力します。たとえば、失敗したログインです。

   4. 「ケース作成者のユーザーID」パラメータにユーザーIDを入力します。ユーザーIDにケースを作成するための適切なロールおよびアクセス権があることを確認してください。この例では、ケース作成者は動的です。

3. アクションをいつトリガーするかに関するトリガー基準を設定します。

   基準はスコアまたはアクション(またはその両方)である必要があります。これらは、選択されたチェックポイントの値に対して比較されます。

   • 評価されたアクションが指定されたアクションに一致する場合、構成可能なアクションがトリガーされます。

   • 指定された範囲のスコアがルール・エンジンから返された場合、構成可能なアクションが実行されます。

   たとえば、アクション・タイプがブロックの場合に必ずケースを作成するようにする場合、Oracle Adaptive Access Managerではポリシーにブロックのアクションが含まれる場合に必ずケースを作成します。スコアが500より大きい場合に必ずケースを作成するようにする場合、Oracle Adaptive Access Managerではその特定のセッション内でスコアが500より大きい場合にケースを作成します。

   アクションおよびスコアの両方が指定された場合は、両方の基準がルール・エンジンの結果に一致する場合にのみ、構成可能なアクションが実行されます。

4. アクションのcreate_agent_caseを入力します。

5. アクション・インスタンスを保存します。

   「適用」をクリックします。

   アクション・インスタンスが正常に作成されると、確認が表示されます。

6. 「OK」をクリックしてダイアログ・ボックスを閉じます。

トリガー基準が満たされている場合、構成可能なアクションによってエージェント・ケースが自動的に作成されます。

ケースのステータスは「新規」です。

新規エージェント・ケースには、アクション・インスタンス・パラメータに基づく自動リンク・セッションが含まれます。

調査担当者がケースを開くと、ケースのステータスが「保留中」に変わります。現在の所有者は調査担当者であり、「作成者」にはケース作成者のユーザーIDが表示されます。このケースのユーザー詳細も表示されます。

チェックポイント、スコア範囲、実行タイプなどのアクション・インスタンス・パラメータに対応するセッションは、構成可能なアクションによって作成されたエージェント・ケースに自動リンクされます。

5.4.3 複数のケースを閉じる

複数のケースをクローズするには:

1. 調査担当者としてログインします。ケース検索ページが表示されます。

2. 「検索結果」表で、閉じるケースを選択します。

3. 「バルク編集」ボタンをクリックします。

4. ステータスとして「クローズ済」を選択します。

5. 処置を選択し、ノートを入力します。

6. 「保存」をクリックします。

7. 「OK」をクリックして、確認ダイアログを閉じます。

5.4.4 ケースの重大度レベルの変更

ケースが作成されると、その重要度を示し、管理者がケースをフィルタできるようにするための重大度レベルがそのケースに割り当てられます。重大度レベルは「ケース詳細」ページに表示されます。

1. 「ケース詳細」ページで、「その他のアクション」をクリックし、「重大度の変更」を選択します。

   「重大度の変更」ダイアログが表示されます。

2. 「重大度」リストで、必要な重大度レベルを選択します。

   使用可能な重大度レベルは、「高」、「中」および「低」です。カスタマが不正を疑っている場合、割り当てる重大度レベルは「高」です。カスタマが異なるイメージを希望している場合、割り当てる重大度レベルは「低」です。必要に応じて、ケースの重大度レベルをエスカレーションまたはエスカレーション解除します。

3. 「ノート」リストで、必要なノートのタイプを選択します。

4. 必要に応じてノートを編集し、実行するアクションに関する情報を追加します。

5. 「送信」をクリックします。

   ケースの重大度がケース・ログに保存されます。

6. 「OK」をクリックして、確認ダイアログを閉じます。

5.4.5 ケースのステータスの変更

ケースのステータスは手動または自動で変更できます。

5.4.5.1 手動によるケースのステータスの変更

シナリオでは、ケース・ステータスを手動で変更する方法を示しています。

5.4.5.1.1 手動によるケースのステータスの「新規」への変更

手動でケースのステータスを「新規」に変更するには:

1. 「ケース詳細」ページで、「その他のアクション」をクリックし、「ステータスの変更」を選択します。

   「ステータスの変更」ダイアログが表示されます。

2. 「ステータス」リストで、「新規」を選択します。

3. 問題を記述するノートを入力します。

   既存のノートから選択するか、新規ノートを入力するか、またはその両方を行います。

   選択する既存のノートは次のとおりです。

   • マネージャの確認

   • その他

4. 「送信」をクリックします。

   確認ダイアログが表示されます。

5. 「OK」をクリックします。

5.4.5.1.2 手動によるケースのステータスの「保留中」への変更

手動でケースのステータスを「保留中」に変更するには:

1. 「ケース詳細」ページで、「その他のアクション」をクリックし、「ステータスの変更」を選択します。

   「ステータスの変更」ダイアログが表示されます。

2. 「ステータス」リストで、「保留中」を選択します。

3. 問題を記述するノートを入力します。

   既存のノートから選択するか、新規ノートを入力するか、またはその両方を行います。

   選択する既存のノートは次のとおりです。

   • マネージャの確認

   • 問題進行中

   • その他

4. 「送信」をクリックします。

   確認ダイアログが表示されます。

5. 「OK」をクリックします。

5.4.6 エージェント・ケースのバルク編集

エージェント・ケースをバルク編集できるのは調査マネージャのみです。

複数ケースのケース設定を一度に変更するには:

1. 調査マネージャとしてログインします。ケース検索ページが表示されます。

2. 必要なケースを選択します。

3. 「バルク編集」をクリックします。

   
   

   注意: 標準のOAAMロールについては、「バルク編集」ボタンは調査担当者ロールでは無効になっており、調査マネージャ・ロールでは有効になっています。

   
   

4. 必要に応じてケース設定を変更し、ノートを追加します。

   「閉じる」アクションは、重大度にかかわらず許可されます。

   重大度はステータスにかかわらず編集可能です。また、ケースの重大度も、ケースの「クローズ済」ステータスにかかわらず変更できます。

5. 「OK」をクリックして、バルク編集を実行します。

   バルク編集操作が正常に実行されたというメッセージを示す確認ダイアログが表示されます。ケースを閉じるときに、バルク編集操作時にすでに「クローズ済」ステータスになっていたエージェント・ケースがある場合は、バルク・クローズ・アクションを実行するためにはエージェント・ケースが「新規」または「保留中」ステータスになっている必要があることを示すメッセージが表示されます。

6. 「OK」をクリックしてダイアログ・ボックスを閉じます。

   検索をリフレッシュすると、これらのケースのステータスが結果に表示されます。

「検索」ページの「最終ケース・アクション」は、バルク編集の直後には更新されません。これは、「検索」ページを再度起動したときに更新されます。

使用例: ZeekはDollar Bankの不正調査マネージャです。彼は、シフトの始めに必ず期限超過のケースを検索します。彼はケースのリストをXLSでエクスポートし、自分のチームに電子メールでアラームとして送信します。すでに解決されているが、誤って開いたままにされていた多くの期限超過ケースをZeekが見つけると、それらをすべて選択して、解決済ステータスおよびノートとともに閉じます。

5.5 ベスト・プラクティスと推奨事項

ベスト・プラクティスと推奨事項を次に示します。

• 調査担当者は、カスタマ・サービスからエスカレーションされたか、アラートから直接示された疑わしい状況を調査します。

• 不正調査マネージャは、自分のチームがどのケースに注目する必要があるかを確認することをお薦めします。

• 不正調査マネージャは、定期的に期限超過ケースを検索して、それらのケースがいずれも保留中になっていないことを確認する必要があります。

• カスタマが不正を疑っている場合、割り当てられる重大度レベルは「高」です。たとえば、カスタマが異なるイメージを希望している場合、割り当てられる重大度レベルは「低」です。ケースの重大度レベルは、必要に応じてエスカレーションまたはエスカレーション解除できます。誰でもケースの重大度を変更できます。

• 調査担当者は、他の調査担当者が使用中のケースを開くことはできません。

• 調査担当者は、エスカレーション済ケースを開いて、CSRおよびCSRマネージャが入力したノートのログを表示する必要があります。たとえば、ノートには、CSRが不正なアクティビティと疑われるものを見つけたために、CSRケースをエージェント・ケースにエスカレーションしたことが示されています。

• 調査担当者はタイムスタンプ列をフィルタして、最も古いケースが先頭にくるようにする必要があります。

• 「トランザクション: フィルタ条件を使用したトランザクション件数の確認」を使用して、エンティティのグループを確認します。たとえば、トランザクション内で使用されたアカウント番号が疑わしいアカウントのグループに属するかどうかを確認して、そのトランザクションをブロックする必要がある場合です。