Événements d'activité suspecte
Lorsque vous utilisez le rapport Activité suspecte, il renseigne cette requête par défaut.
( outcome.result eq "SUCCESS" AND ( eventType eq "app.oauth2.client_id_rate_limit_warning" OR eventType eq "user.mfa.attempt_bypass" ) ) OR ( outcome.result eq "FAILURE" AND ( eventType eq "user.authentication.auth_via_mfa" OR eventType eq "user.authentication.auth_via_IDP" OR eventType eq "user.authentication.auth" OR eventType eq "user.session.start" OR eventType eq "user.account.lock" OR eventType eq "user.authentication.auth_via_social" OR eventType eq "user.account.unlock" OR eventType eq "user.account.use_token" OR eventType eq "app.oauth2.token.grant" OR eventType eq "app.oauth2.as.evaluate.claim" OR eventType eq "app.oauth2.as.token.revoke" ) )Les activités suspectes identifiées pour les comptes d'utilisateurs finaux peuvent être interrogées dans Journal système. Pour en savoir plus sur les événements de ce tableau, consultez Types d'événements.
| Événement | Type d'événement | Interrogation du Journal système | |
| 1 | Échec de la tentative du facteur ${factor} | user.authentication.auth_via_mfa | eventType eq "user.authentication.auth_via_mfa" and outcome.result eq "FAILURE" |
| 2 | Le nom d'utilisateur transformé '${okta_username}' a été rejeté par le filtre de nom d'utilisateur '${okta_username}' | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to match transformed username" |
| 3 | Impossible de résoudre le point de terminaison du IdP avec '${match_criteria}'. Assurez-vous que l'IdP est correctement configuré | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to resolve IdP endpoint" |
| 4 | Impossible de valider l'assertion SAML entrante : [${token_id}] - ${error_message} | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to validate incoming SAML Assertion" |
| 5 | Une assertion SAML avec le même identifiant [${token_id}] a déjà été traitée par Okta pour une requête précédente | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "A SAML assert with the same ID has already been processed by Okta for a previous request" |
| 6 | Impossible de valider la réponse SAML [ID=${message_id}] - 'InResponseTo=${in_response_to}' ne correspond pas à un identifiant d'une demande d'authentification SAML envoyée depuis Okta Okta | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to validate SAML Response" |
| 7 | Échec de l'identification {raison quelconque} | user.authentication.auth | eventType eq "user.authentication.auth" and outcome.result eq "FAILURE" |
| user.session.start | eventType eq "user.session.start" and outcome.result eq "FAILURE" | ||
| 8 | Compte verrouillé - Nombre maximal de tentatives de connexion dépassé | user.account.lock | eventType eq "user.account.lock" |
| 9 | Impossible de récupérer un jeton d'accès pour le fournisseur d'identité en raison de l'erreur '${error_message}' | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to retrieve an access token for the Identity Provider" |
| 10 | Impossible de récupérer un Compte utilisateur auprès du fournisseur d'identité en raison de l'erreur '${error_message}' | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to retrieve a user Comptee from the Identity Provider" |
| 11 | La réponse UserInfo du fournisseur d'identité est invalide : '${error_message}' | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "The UserInfo response from the Identity Provider is invalid" |
| 12 | Lien de compte du sujet entrant '${subject_name}' à l'utilisateur '${okta_username}' refusé en raison de la restriction d'adhésion au groupe '${groups}' | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Account link of incoming subject to user denied due to group membership restriction" |
| 13 | Un contournement de MFA a peut-être été tenté pour cet utilisateur | user.mfa.attempt_bypass | eventType eq "user.mfa.attempt_bypass" |
| 14 | L'utilisateur n'a pas répondu correctement à la question de récupération du mot de passe en libre-service resete_to_no_matching_key | user.account.reset_password | eventType eq "user.account.reset_password" and outcome.result eq "FAILURE" and outcome.reason eq "User answered recovery question invalid" |
| 15 | Tentative de réinitialisation du mot de passe en libre-service pour un utilisateur suspendu | user.account.reset_password | eventType eq "user.account.reset_password" and outcome.result eq "FAILURE" and outcome.reason eq "User suspended" |
| 16 |
Requête de jeton pour ${grant_type}-${code} rejetée pour le client ${client_id}' avec le type d'authentification ${client_auth_type} et les domaines [${scopes}] en raison du motif : ${app_error_code} Ou Requête de jeton pour ${grant_type}-${refresh_token} rejetée pour le client ${client_id}' avec le type d'authentification ${client_auth_type} et les domaines [${scopes}] en raison du motif : ${app_error_code}. |
app.oauth2.token.grant | eventType eq "app.oauth2.token.grant" and outcome.result eq "FAILURE" |
| 17 | Demandes multiples avec un identifiant de client sur le point d'être limité par un taux | app.oauth2.client_id_rate_limit_warning | eventType eq "app.oauth2.client_id_rate_limit_warning" |
| 18 | Demandes multiples avec des identifiants client invalides ${client_secrets} pour le client ${client_id} | app.oauth2.invalid_client_credentials | eventType eq "app.oauth2.invalid_client_credentials" |
| 19 | Échec de l'évaluation de la demande de jeton OAuth2 pour l'utilisateur ${user_id} avec le client ${client_id} et le serveur d'autorisation ${authorization_server} en raison du motif : ${app_error_code} | app.oauth2.as.evaluate.claim | eventType eq "app.oauth2.as.evaluate.claim" and outcome.result eq "FAILURE" |
| 20 | La demande de révocation de jeton OAuth2 a été rejetée pour le client ${client_id} avec le serveur d'autorisation ${authorization_server} en raison du motif : ${app_error_code} | app.oauth2.as.token.revoke | eventType eq "app.oauth2.as.token.revoke" and outcome.result eq "FAILURE" |