不審なアクティビティのイベント
不審なアクティビティレポートを使用するときは、次のクエリの内容がデフォルトで入力されます。
( outcome.result eq "SUCCESS" AND ( eventType eq "app.oauth2.client_id_rate_limit_warning" OR eventType eq "user.mfa.attempt_bypass" ) ) OR ( outcome.result eq "FAILURE" AND ( eventType eq "user.authentication.auth_via_mfa" OR eventType eq "user.authentication.auth_via_IDP" OR eventType eq "user.authentication.auth" OR eventType eq "user.session.start" OR eventType eq "user.account.lock" OR eventType eq "user.authentication.auth_via_social" OR eventType eq "user.account.unlock" OR eventType eq "user.account.use_token" OR eventType eq "app.oauth2.token.grant" OR eventType eq "app.oauth2.as.evaluate.claim" OR eventType eq "app.oauth2.as.token.revoke" ) )不審なアクティビティをSystem Logにクエリしてユーザーを識別できます。この表のイベントの詳細については、「イベントタイプ」を参照してください。
イベント | イベントタイプ | System Logクエリ | |
1 | Failed ${factor} factor attempt(${factor} 要素の試行に失敗しました) | user.authentication.auth_via_mfa | eventType eq "user.authentication.auth_via_mfa" and outcome.result eq "FAILURE" |
2 | The transformed username '${okta_username}' was rejected by the username filter(変換されたユーザー名「${okta_username}」がユーザー名フィルターで却下されました) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to match transformed username" |
3 | Unable to resolve IdP endpoint with '${match_criteria}'.(IdPエンドポイントを「${match_criteria}」で解決できません。)Ensure the IdP is correctly configured(IdPが正しく構成されていることを確認してください) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to resolve IdP endpoint" |
4 | Unable to validate incoming SAML Assertion: [${token_id}] - ${error_message}(受信SAMLアサーションを検証できません:[${token_id}] - ${error_message}) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to validate incoming SAML Assertion" |
5 | A SAML Assertion with the same ID [${token_id}] has already been processed by Okta for a previous request(以前の要求で、同じID [${token_id}] のSAMLアサーションがOktaによってすでに処理されています) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "A SAML assert with the same ID has already been processed by Okta for a previous request" |
6 | Unable to validate SAML Response [ID=${message_id}] - 'InResponseTo=${in_response_to}' does not match an ID of a SAML authentication request sent from Okta(SAMLレスポンス [ID=${message_id}] を検証できません - 「InResponseTo=${in_response_to}」がOktaから送信されたSAML認証要求のIDと一致しません) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to validate SAML Response" |
7 | Sign-in Failed {some reason}(サインインに失敗しました {some reason}) | user.authentication.auth | eventType eq "user.authentication.auth" and outcome.result eq "FAILURE" |
user.session.start | eventType eq "user.session.start" and outcome.result eq "FAILURE" | ||
8 | Account Locked - Max sign-in attempts exceeded(アカウントがロックされました - サインインの最大試行回数を超過しました) | user.account.lock | eventType eq "user.account.lock" |
9 | Unable to retrieve an access token for the Identity Provider due to error '${error_message}'(エラー「${error_message}」が原因でIDプロバイダーのアクセストークンを取得できません) | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to retrieve an access token for the Identity Provider" |
10 | Unable to retrieve a user profile from the Identity Provider due to error '${error_message}'(エラー「${error_message}」が原因でIDプロバイダーからユーザープロファイルを取得できません) | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to retrieve a user profile from the Identity Provider" |
11 | The UserInfo response from the Identity Provider is invalid: '${error_message}'(IDプロバイダーからのUserInfo応答が無効です:「${error_message}」) | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "The UserInfo response from the Identity Provider is invalid" |
12 | Account link of incoming subject '${subject_name}' to user '${okta_username}' denied due to group membership restriction '${groups}'(グループメンバーシップの制限「${groups}」により、受信サブジェクト「${subject_name}」からユーザー「${okta_username}」へのアカウントリンクが拒否されました) | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Account link of incoming subject to user denied due to group membership restriction" |
13 | A bypass of MFA may have been attempted for this user(このユーザーについてMFAのバイパスが試行された可能性があります) | user.mfa.attempt_bypass | eventType eq "user.mfa.attempt_bypass" |
14 | User answered recovery question incorrectly for self-service password resete_to_no_matching_key(セルフサービスによるパスワードのリセットでユーザーが入力した復旧質問に対する回答が正しくありませんresete_to_no_matching_key) | user.account.reset_password | eventType eq "user.account.reset_password" and outcome.result eq "FAILURE" and outcome.reason eq "User answered recovery question invalid" |
15 | Self-service password reset attempted for suspended user(使用を停止されているユーザーに対してセルフサービスによるパスワードのリセットが試行されました) | user.account.reset_password | eventType eq "user.account.reset_password" and outcome.result eq "FAILURE" and outcome.reason eq "User suspended" |
16 |
Token request for ${grant_type}-${code} rejected for client ${client_id}' with authentication type ${client_auth_type} and scopes [${scopes}] due to reason: ${app_error_code}(理由 ${app_error_code} により、認証タイプが ${client_auth_type} でスコープが [${scopes}] のクライアント ${client_id} に対する ${grant_type}-${code} のトークン要求が却下されました) Or Token request for ${grant_type}-${code} rejected for client ${client_id}' with authentication type ${client_auth_type} and scopes [${scopes}] due to reason: ${app_error_code}(理由 ${app_error_code} により、認証タイプが ${client_auth_type} でスコープが [${scopes}] のクライアント ${client_id} に対する ${grant_type}-${refresh_token} のトークン要求が却下されました) |
app.oauth2.token.grant | eventType eq "app.oauth2.token.grant" and outcome.result eq "FAILURE" |
17 | Multiple requests with a client id about to be rate limited(複数の要求のクライアントIDがまもなくレート制限を超過します) | app.oauth2.client_id_rate_limit_warning | eventType eq "app.oauth2.client_id_rate_limit_warning" |
18 | Multiple requests with invalid client credentials ${client_secrets} for client ${client_id}(複数の要求のクライアントID ${client_id} のクライアント認証情報 ${client_secrets} が無効です) | app.oauth2.invalid_client_credentials | eventType eq "app.oauth2.invalid_client_credentials" |
19 | Failed to evaluate claim for OAuth2 token for user ${user_id} with client ${client_id} and 認証サーバー ${authorization_server} due to reason: ${app_error_code}(理由 ${app_error_code} により、クライアント ${client_id} および認証サーバー ${authorization_server} のユーザー ${user_id} に対するOAuth2トークンのクレームを評価できませんでした) | app.oauth2.as.evaluate.claim | eventType eq "app.oauth2.as.evaluate.claim" and outcome.result eq "FAILURE" |
20 | OAuth2 token revocation request rejected for client ${client_id} with 認証サーバー ${authorization_server} due to reason: ${app_error_code}(理由 ${app_error_code} により、認証サーバー ${authorization_server} のクライアント ${client_id} に対するOAuth2トークン取り消し要求が却下されました) | app.oauth2.as.token.revoke | eventType eq "app.oauth2.as.token.revoke" and outcome.result eq "FAILURE" |
関連項目
レポート