Documentación de Oracle Cloud Infrastructure

Descripción de proveedores de riesgo

Los administradores de dominios de identidad y los administradores de seguridad utilizan proveedores de riesgo para dominios de identidad para configurar varios eventos contextuales y de amenazas que se analizarán dentro de un dominio en IAM. Un dominio de identidad también puede recibir puntuaciones de riesgo de usuarios desde proveedores de riesgo de terceros.

Proveedor de riesgo por defecto

Un dominio de identidad incluye un proveedor de riesgo por defecto con una lista de eventos contextuales y de amenazas soportados, como demasiados intentos de conexión incorrectos o demasiados intentos de MFA incorrectos. Los administradores pueden activar eventos de interés y especificar la ponderación o la gravedad de cada uno de estos eventos. El sistema utiliza la ponderación configurada para calcular la puntuación de riesgo del usuario.

Puede configurar los siguientes eventos de un proveedor de riesgo:
  • Acceso desde un dispositivo desconocido
  • Demasiados intentos de conexión incorrectos
  • Demasiados intentos de MFA incorrectos
  • Acceso desde direcciones IP sospechosas
  • Acceso desde una ubicación desconocida
  • Desplazamiento imposible entre ubicaciones
Por ejemplo, si una persona utiliza un nuevo dispositivo desconocido para conectarse, el sistema que no reconoce el dispositivo y disparará el evento Acceso desde un dispositivo desconocido.
Los administradores pueden asignar la ponderación a eventos que corresponden a rangos de riesgo. Tenga en cuenta la ponderación de cada uno de los riesgos de la siguiente manera:
  • rango de riesgo bajo (0-25)
  • rango de riesgo medio (26-75)
  • rango de riesgo alto (76-100)
Si el administrador desea considerar que la conexión de usuario desde un dispositivo desconocido es de bajo riesgo, el administrador define que la ponderación de ese evento es menor que 25. Si el administrador desea considerar que el mismo evento tiene un riesgo medio, el administrador define que la ponderación de ese evento es de 26 a 75. Cualquier valor definido mayor que 75 para ese evento se considera de alto riesgo. Si el usuario viola más de un evento, la puntuación de riesgo es una combinación de dos ponderaciones y corresponde al nivel de riesgo adecuado. Las puntuaciones de riesgo del usuario se evalúan continuamente y se reducen en función de las acciones de corrección que realiza el usuario, como las conexiones correctas y los restablecimientos de contraseña.

Proveedores de riesgo de terceros

Los administradores pueden crear proveedores de riesgo para obtener el resultado de riesgo del usuario desde el motor del riesgo de terceros Symantec. Este motor a riesgo proporciona información adicional sobre el comportamiento del usuario en sistemas heterogéneos con los que IAM no está directamente involucrado.

Para proporcionar un perfil de riesgos consolidado del usuario en cualquier momento, IAM toma el nivel más alto de las puntuaciones de riesgos tanto del proveedor por defecto de riesgos de IAM como de los proveedores configurados de riesgos de terceros, y califica al usuario como usuario de alto riesgo, de mediano riesgo o de bajo riesgo. Por ejemplo, si la puntuación de riesgo de un usuario del proveedor de riesgo por defecto está dentro del rango bajo, pero la puntuación de riesgo de un proveedor de riesgo de terceros está dentro del rango medio, el nivel de riesgo consolidado del usuario se define en medio.

A continuación, los administradores pueden utilizar la puntuación de riesgo del dominio de identidad, la puntuación de riesgo de terceros o el nivel de riesgo de usuario consolidado como condiciones que se pueden utilizar con las políticas de conexión del dominio de identidad para aplicar una acción de corrección, como permitir o denegar al usuario el acceso a un dominio de identidad y sus aplicaciones y recursos protegidos, requerir que el usuario proporcione un segundo factor para autenticarse en un dominio de identidad, etc.