疑わしいアクティビティイベント
不審なアクティビティレポートを使用するときは、次のクエリの内容がデフォルトで入力されます。
(
outcome.result eq "SUCCESS" AND
(
eventType eq "app.oauth2.client_id_rate_limit_warning"
OR eventType eq "user.mfa.attempt_bypass"
)
)
OR
(
outcome.result eq "FAILURE" AND
(
eventType eq "user.authentication.auth_via_mfa"
OR eventType eq "user.authentication.auth_via_IDP"
OR eventType eq "user.authentication.auth"
OR eventType eq "user.session.start"
OR eventType eq "user.account.lock"
OR eventType eq "user.authentication.auth_via_social"
OR eventType eq "user.account.unlock"
OR eventType eq "user.account.use_token"
OR eventType eq "app.oauth2.token.grant"
OR eventType eq "app.oauth2.as.evaluate.claim"
OR eventType eq "app.oauth2.as.token.revoke"
)
)不審なアクティビティをシステムログにクエリしてユーザーを識別できます。この表のイベントの詳細については、「イベントタイプ」を参照してください。
| イベント | イベントタイプ | システムログクエリ | |
| 1 | ${factor} 要素の試行に失敗しました(Failed ${factor} factor attempt) | user.authentication.auth_via_mfa | eventType eq "user.authentication.auth_via_mfa" and outcome.result eq "FAILURE" |
| 2 | 変換されたユーザー名「${okta_username}」がユーザー名フィルターで却下されました(The transformed username '${okta_username}' was rejected by the username filter) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to match transformed username" |
| 3 | IdPエンドポイントを「${match_criteria}」で解決できません。(Unable to resolve IdP endpoint with '${match_criteria}'.)IdPが正しく構成されていることを確認してください(Ensure the IdP is correctly configured) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to resolve IdP endpoint" |
| 4 | 受信SAMLアサーションを検証できません:[${token_id}] - ${error_message}(Unable to validate incoming SAML Assertion: [${token_id}] - ${error_message}) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to validate incoming SAML Assertion" |
| 5 | A SAML Assertion with the same ID [${token_id}] has already been processed by Okta for a previous request(以前の要求で、同じID [${token_id}] のSAMLアサーションがOktaによってすでに処理されています) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "同じIDのSAMLアサーションが、前のリクエストでOktaによってすでに処理されています" |
| 6 | Unable to validate SAML Response [ID=${message_id}] - 'InResponseTo=${in_response_to}' does not match an ID of a SAML authentication request sent from Okta(SAMLレスポンス [ID=${message_id}] を検証できません - 「InResponseTo=${in_response_to}」がOktaから送信されたSAML認証要求のIDと一致しません) | user.authentication.auth_via_IDP | eventType eq "user.authentication.auth_via_IDP" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to validate SAML Response" |
| 7 | サインインに失敗しました {some reason}(Sign-in Failed {some reason}) | user.authentication.auth | eventType eq "user.authentication.auth" and outcome.result eq "FAILURE" |
| user.session.start | eventType eq "user.session.start" and outcome.result eq "FAILURE" | ||
| 8 | アカウントがロックされました - サインインの最大試行回数を超過しました(Account Locked - Max sign-in attempts exceeded) | user.account.lock | eventType eq "user.account.lock" |
| 9 | エラー「${error_message}」が原因でIDプロバイダーのアクセストークンを取得できません(Unable to retrieve an access token for the Identity Provider due to error '${error_message}') | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to retrieve an access token for the Identity Provider" |
| 10 | エラー「${error_message}」が原因でIDプロバイダーからユーザープロファイルを取得できません(Unable to retrieve a user profile from the Identity Provider due to error '${error_message}') | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Unable to retrieve a user profile from the Identity Provider" |
| 11 | IDプロバイダーからのUserInfo応答が無効です:「${error_message}」(The UserInfo response from the Identity Provider is invalid: '${error_message}') | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "The UserInfo response from the Identity Provider is invalid" |
| 12 | グループメンバーシップの制限「${groups}」により、受信サブジェクト「${subject_name}」からユーザー「${okta_username}」へのアカウントリンクが拒否されました(Account link of incoming subject '${subject_name}' to user '${okta_username}' denied due to group membership restriction '${groups}') | user.authentication.auth_via_social | eventType eq "user.authentication.auth_via_social" and outcome.result eq "FAILURE" and outcome.reason eq "Account link of incoming subject to user denied due to group membership restriction" |
| 13 | このユーザーについてMFAのバイパスが試行された可能性があります(A bypass of MFA may have been attempted for this user) | user.mfa.attempt_bypass | eventType eq "user.mfa.attempt_bypass" |
| 14 | セルフサービスによるパスワードのリセットでユーザーが入力した復旧質問に対する回答が正しくありませんresete_to_no_matching_key(User answered recovery question incorrectly for self-service password resete_to_no_matching_key) | user.account.reset_password | eventType eq "user.account.reset_password" and outcome.result eq "FAILURE" and outcome.reason eq "User answered recovery question invalid" |
| 15 | 使用を停止されているユーザーに対してセルフサービスによるパスワードのリセットが試行されました(Self-service password reset attempted for suspended user) | user.account.reset_password | eventType eq "user.account.reset_password" and outcome.result eq "FAILURE" and outcome.reason eq "User suspended" |
| 16 |
理由 ${app_error_code} により、認証タイプが ${client_auth_type} でスコープが [${scopes}] のクライアント ${client_id} に対する ${grant_type}-${code} のトークン要求が却下されました(Token request for ${grant_type}-${code} rejected for client ${client_id}' with authentication type ${client_auth_type} and scopes [${scopes}] due to reason: ${app_error_code}) Or 理由 ${app_error_code} により、認証タイプが ${client_auth_type} でスコープが [${scopes}] のクライアント ${client_id} に対する ${grant_type}-${refresh_token} のトークン要求が却下されました(Token request for ${grant_type}-${code} rejected for client ${client_id}' with authentication type ${client_auth_type} and scopes [${scopes}] due to reason: ${app_error_code}) |
app.oauth2.token.grant | eventType eq "app.oauth2.token.grant" and outcome.result eq "FAILURE" |
| 17 | 複数の要求のクライアントIDがまもなくレート制限を超過します(Multiple requests with a client id about to be rate limited) | app.oauth2.client_id_rate_limit_warning | eventType eq "app.oauth2.client_id_rate_limit_warning" |
| 18 | 複数の要求のクライアントID ${client_id} のクライアント認証情報 ${client_secrets} が無効です(Multiple requests with invalid client credentials ${client_secrets} for client ${client_id}) | app.oauth2.invalid_client_credentials | eventType eq "app.oauth2.invalid_client_credentials" |
| 19 | 理由 ${app_error_code} により、クライアント ${client_id} および認可サーバー ${authorization_server} のユーザー ${user_id} に対するOAuth2トークンのクレームを評価できませんでした(Failed to evaluate claim for OAuth2 token for user ${user_id} with client ${client_id} and authorization server ${authorization_server} due to reason: ${app_error_code}) | app.oauth2.as.evaluate.claim | eventType eq "app.oauth2.as.evaluate.claim" and outcome.result eq "FAILURE" |
| 20 | 理由 ${app_error_code} により、認可サーバー ${authorization_server} のクライアント ${client_id} に対するOAuth2トークン取り消し要求が却下されました(OAuth2 token revocation request rejected for client ${client_id} with authorization server ${authorization_server} due to reason: ${app_error_code}) | app.oauth2.as.token.revoke | eventType eq "app.oauth2.as.token.revoke" and outcome.result eq "FAILURE" |
関連項目