Diese Seite wurde von der Cloud Translation API übersetzt.

Okta-Logs erfassen

Unterstützt in:

Google SecOps SIEM

In diesem Dokument wird beschrieben, wie Sie Okta-Logs mithilfe der Okta API in Google Security Operations aufnehmen. Der Parser extrahiert Systemprotokolle und verarbeitet sowohl einzelne Ereignisse als auch Batchereignisse in einem JSON-Array. Die Daten werden in das UDM-Format normalisiert, Okta-Felder werden UDM-Entsprechungen zugeordnet, die Daten werden mit geparsten User-Agents, geografischen Informationen und Authentifizierungsdetails angereichert und es werden Sicherheitsergebnisereignisse basierend auf Ergebnissen und Risikoinformationen generiert.

Hinweise

Google SecOps-Instanz
Privilegierter Zugriff auf Okta

Okta konfigurieren

Führen Sie die folgenden Aufgaben aus, um Okta-SSO zu konfigurieren:

Okta-Administratornutzer mit Lesezugriff erstellen

Melden Sie sich in der Okta-Administratorkonsole an.
Erstellen Sie einen Standardnutzer.
- Rufen Sie Verzeichnis > Personen auf.
- Klicken Sie auf Person hinzufügen und füllen Sie die Pflichtfelder aus.
Hinweis :Wenn Sie bereits einen Standardnutzer haben, den Sie zum schreibgeschützten Administrator machen möchten, fahren Sie mit dem nächsten Schritt fort.
Wählen Sie Sicherheit > Administratoren aus.
Klicken Sie auf Administrator hinzufügen.
Suchen Sie im Feld Administratorzuweisung durch Administrator nach dem Standardnutzer.
Wählen Sie im Bereich Rollen in der Liste die Option Administrator (schreibgeschützt) aus.
Melden Sie sich vom Administratorkonto ab.

API-Schlüssel abrufen

Melden Sie sich mit dem schreibgeschützten Administratorkonto in der Okta Admin-Konsole an.
Gehen Sie zu Sicherheit > API > Tokens.
Klicken Sie auf Token erstellen.
Geben Sie einen aussagekräftigen Namen für das Token ein.
Geben Sie die IP-Zone an, in der die API verwendet wird. Wenn Sie sich nicht sicher sind, können Sie beliebige IP auswählen.
Klicken Sie auf Token erstellen.
Kopieren Sie den API-Schlüssel.
Klicken Sie auf OK.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

SIEM-Einstellungen > Feeds > Neu hinzufügen
Content Hub > Content-Packs > Erste Schritte

Okta-Feed einrichten

So konfigurieren Sie diesen Logtyp:

Klicken Sie auf das Paket Okta.
Suchen Sie den Logtyp Okta.
Geben Sie Werte für die folgenden Felder an:
- Quelltyp: Drittanbieter-API (empfohlen)
- HTTP-Header für die Authentifizierung: Geben Sie den Okta-API-Schlüssel im folgenden Format ein: Authorization:<API_KEY>.
- API-Hostname: Geben Sie den Domainnamen Ihres Okta-Hosts an, z. B. <your-domain>.okta.com.
- Asset-Namespace: Der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
Erweiterte Optionen
- Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
- Asset-Namespace: Namespace, der dem Feed zugeordnet ist.
- Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.
Klicken Sie auf Feed erstellen.

Weitere Informationen zum Konfigurieren mehrerer Feeds für verschiedene Logtypen in dieser Produktfamilie finden Sie unter Feeds nach Produkt konfigurieren.

UDM-Zuordnungstabelle

Logfeld	UDM-Zuordnung	Bemerkung
`actor.displayName`	`principal.resource.attribute.labels`
`assigned_group[]`	`security_result.detection_fields`
`created`	`target.resource.attribute.labels`
`credentials.oauthClient.autoKeyRotation`	`security_result.detection_fields`
`credentials.oauthClient.pkce_required`	`security_result.detection_fields`
`credentials.oauthClient.token_endpoint_auth_method`	`security_result.detection_fields`
`credentials.signing.kid`	`security_result.detection_fields`
`credentials.userNameTemplate.pushStatus`	`security_result.detection_fields`
`credentials.userNameTemplate.template`	`metadata.product_event_type`
`credentials.userNameTemplate.type`	`security_result.detection_fields`
`id`	`principal.user.userid`
`label`	`target.resource.attribute.labels`
`lastUpdated`	`target.resource.attribute.labels`
`orn`	`target.resource.attribute.labels`
`settings.implicitAssignment`	`security_result.detection_fields`
`settings.manualProvisioning`	`security_result.detection_fields`
`settings.notifications.vpn.network.connection`	`security_result.detection_fields`
`settings.notifications.vpn.network.helpUrl`	`security_result.detection_fields`
`settings.notifications.vpn.network.message`	`security_result.detection_fields`
`settings.oauthClient.application_type`	`security_result.detection_fields`
`settings.oauthClient.client_uri`	`security_result.detection_fields`
`settings.oauthClient.consent_method`	`security_result.detection_fields`
`settings.oauthClient.dpop_bound_access_tokens`	`security_result.detection_fields`
`settings.oauthClient.grant_types[]`	`security_result.detection_fields`
`settings.oauthClient.idp_initiated_login.mode`	`security_result.detection_fields`
`settings.oauthClient.initiate_login_uri`	`security_result.detection_fields`
`settings.oauthClient.issuer_mode`	`security_result.detection_fields`
`settings.oauthClient.logo_uri`	`security_result.detection_fields`
`settings.oauthClient.pkce_required`	`security_result.detection_fields`
`settings.oauthClient.redirect_uris[]`	`security_result.detection_fields`
`settings.oauthClient.response_types[]`	`security_result.detection_fields`
`settings.oauthClient.token_endpoint_auth_method`	`security_result.detection_fields`
`settings.oauthClient.wildcard_redirect`	`security_result.detection_fields`
`settings.signOn.acsUrl`	`security_result.detection_fields`
`settings.signOn.assertionSigned`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].filterType`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].filterValue`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].name`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].namespace`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].type`	`security_result.detection_fields`
`settings.signOn.audience`	`security_result.detection_fields`
`settings.signOn.authnContextClassRef`	`security_result.detection_fields`
`settings.signOn.defaultRelayState`	`security_result.detection_fields`
`settings.signOn.destination`	`security_result.detection_fields`
`settings.signOn.digestAlgorithm`	`security_result.detection_fields`
`settings.signOn.idpIssuer`	`security_result.detection_fields`
`settings.signOn.recipient`	`security_result.detection_fields`
`settings.signOn.responseSigned`	`security_result.detection_fields`
`settings.signOn.signatureAlgorithm`	`security_result.detection_fields`
`settings.signOn.subjectNameIdFormat`	`security_result.detection_fields`
`settings.signOn.subjectNameIdTemplate`	`security_result.detection_fields`
`signOnMode`	`security_result.detection_fields`
`status`	`security_result.detection_fields`
`visibility.appLinks.oidc_client_link`	`security_result.detection_fields`
`visibility.autoSubmitToolbar`	`security_result.detection_fields`
`visibility.hide.iOS`	`security_result.detection_fields`
`visibility.hide.web`	`security_result.detection_fields`
–	`metadata.vendor_name`	Legen Sie `Okta` fest.
–	`metadata.product_name`	Legen Sie `Okta` fest.
–	`extensions.auth.type`	Legen Sie `SSO` fest.

Tabelle zur Arrayzuordnung

In der folgenden Tabelle ist die Zuordnung von Okta-Array-Elementen zu wiederholten UDM-Feldern aufgeführt.

Array von Logs	Array von Ereignissen	Bemerkung
`actor.alternateId`	`TBD`
`actor.displayName`	`principal.user.user_display_name`	Wenn eventType `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`actor.displayName`	`principal.user.user_display_name`	Wenn eventType nicht `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`actor.type`	`principal.user.attribute.roles.name`	Wenn eventType `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`actor.type`	`principal.user.attribute.roles.name`	Wenn eventType nicht `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`anonymous`	`security_result.detection_fields`
`authenticationContext.externalSessionId`	`network.parent_session_id`
`client.device`	`principal.asset.type`	Unterstützt: LINUX, WINDOWS, MAC, IOS, ANDROID, CHROME_OS
`client.device`	`additional.fields`	Event_type
`client.geographicalContext.city`	`principal.location.city`
`client.geographicalContext.country`	`principal.location.country_or_region`
`client.geographicalContext.geolocation.lat`	`principal.location.region_latitude`
`client.geographicalContext.geolocation.lon`	`principal.location.region_longitude`
`client.geographicalContext.postalCode`	`additional.fields`
`client.geographicalContext.postalCode`	`target.resource.attribute.labels`
`client.ipAddress`	`principal.ip`
`client.userAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`client.userAgent.browser`	`target.resource.attribute.labels`
`client.userAgent.os`	`principal.platform`
`client.userAgent.os`	`principal.platform`
`client.userAgent.rawUserAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`client.zone`	`additional.fields`	Event_type
`debugContext.debugData.behaviors.New City`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New Country`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New Device`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New Geo-Location`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New IP`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New State`	`security_result.detection_fields`
`debugContext.debugData.behaviors.Velocity`	`security_result.detection_fields`
`debugContext.debugData.clientAddress`	`principal.ip` `principal.asset.ip`
`debugContext.debugData.dtHash`	`security_result.detection_fields`
`debugContext.debugData.factor`	`security_result.detection_fields`
`debugContext.debugData.factorIntent`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors`	`security_result.description`
`debugContext.debugData.logOnlySecurityData.behaviors.New City`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New Country`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New Device`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New Geo-Location`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New IP`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New State`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.Velocity`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.risk.reasons`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.risk.reasons`	`security_result.description`
`debugContext.debugData.logOnlySecurityData.risk.level`	`security_result.severity_details`
`debugContext.debugData.logOnlySecurityData.url`	`target.url`
`debugContext.debugData.privilegeGranted[]`	`target.user.attribute.roles.name` `target.user.attribute.roles.description`
`debugContext.debugData.pushOnlyResponseType`	`security_result.detection_fields`
`debugContext.debugData.pushWithNumberChallengeResponseType`	`security_result.detection_fields`
`debugContext.debugData.requestUri`	`extensions.auth.auth_details`
`debugContext.debugData.requestUri`	`target.url`
`debugContext.debugData.risk`	`security_result.detection_fields`	Gründe für `security_result.detection_fields` zugeordnet.
`debugContext.debugData.suspiciousActivityEventId`	`security_result.detection_fields`
`debugContext.debugData.suspiciousActivityEventType`	`security_result.detection_fields`
`debugContext.debugData.threatDetections`	`security_result.detection_fields`
`debugContext.debugData.threatSuspected`	`security_result.detection_fields` `security_result.threat_status`
`debugContext.debugData.threatSuspected`	`security_result.detection_fields` `security_result.threat_status`
`debugContext.debugData.tunnels[].anonymous`	`security_result.detection_fields`
`debugContext.debugData.tunnels[].operator`	`security_result.detection_fields`
`debugContext.debugData.tunnels[].type`	`security_result.detection_fields`
`debugContext.debugData.tunnels.n.anonymous`	`security_result.detection_fields`
`debugContext.debugData.tunnels.n.operator`	`security_result.detection_fields`
`debugContext.debugData.tunnels.n.type`	`security_result.detection_fields`
`detail.actor.id`	`principal.user.product_object_id`	Wenn eventType `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`detail.actor.id`	`principal.user.product_object_id`	Wenn eventType nicht `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`detail.authenticationContext.externalSessionId`	`network.parent_session_id`
`detail.client.ipChain.0.ip` `client.ipAddress`	`principal.ip` `principal.asset.ip`
`detail.debugContext.debugData.dtHash`	`security_result.detection_fields`
`detail.debugContext.debugData.factor`	`security_result.detection_fields`
`detail.debugContext.debugData.factorIntent`	`security_result.detection_fields`
`detail.debugContext.debugData.pushOnlyResponseType`	`security_result.detection_fields`
`detail.debugContext.debugData.pushWithNumberChallengeResponseType`	`security_result.detection_fields`
`detail.debugContext.debugData.requestUri`	`target.url`
`detail.eventType`	`metadata.product_event_type`
`detail.outcome.reason`	`security_result.category_details`
`detail.outcome.result`	`security_result.action`
`detail.request.ipChain.0.geographicalContext.city`	`principal.location.city`
`detail.request.ipChain.0.geographicalContext.country`	`principal.location.country_or_region`
`detail.request.ipChain.0.geographicalContext.state`	`principal.location.state`
`detail.severity`	`security_result.severity`
`detail.target.0.alternateId`	Siehe Anmerkung.	`tgtuser_id` => `target.user.userid` `%{tgtusername}@%{tgtdomain}` => `target.user.email_addresses`
`detail.target.0.displayName`	`target.application` `target.resource.name`
`detail.target.0.displayName`	`target.user.user_display_name`
`detail.target.0.detailEntry.policyType}`	`target.resource_ancestors.attribute.labels`
`detail.target.0.id`	`target.resource.product_object_id`
`detail.target.0.id`	`target.resource_ancestors.product_object_id`
`detail.target.0.type`	`target.resource.resource_subtype`
`detail.target.0.type`	`target.resource_ancestors.resource_subtype`
`detail.uuid`	`metadata.product_log_id`
`displayMessage`	`security_result.summary`
`extensions.auth.type`	`SSO`	Event_type
`extensions.auth.type`	`SSO`	Wenn `msg.target.type` ein anderer Fall als `AppInstance`, `PolicyEntity`, `PolicyRule` oder `User` ist.
`eventType`	`metadata.product_event_type`
`eventType` `detail.eventType`	`metadata.product_event_type`
`json_array.n.actor.id`	`principal.user.product_object_id`
`mapped data.fields to fields`
`metadata.product_name`	`Okta`	Event_type
`metadata.vendor_name`	`Okta`	Event_type
`msg.actor.alternateId`	Siehe Anmerkung.	Wenn das Parsen fehlschlägt, wird dies `principal.user.userid` zugeordnet. Andernfalls wird der Nutzername `principal.user.userid` oder username@domain `principal.user.email_addresses` zugeordnet.
`msg.actor.displayName`	`principal.user.user_display_name`
`msg.actor.type`	`principal.user.attribute.roles.name`
`msg.authenticationContext.authenticationProvider`	`security_result.detection_fields`	Event_type
`msg.authenticationContext.credentialProvider`	`security_result.detection_fields`	Event_type
`msg.authenticationContext.externalSessionId`	`network.parent_session_id`
`msg.client.device`	`principal.asset.type`	Unterstützt: MOBILE, WORKSTATION, LAPTOP, IOT, NETWORK_ATTACHED_STORAGE, PRINTER, SCANNER, SERVER, TAPE_LIBRARY
`msg.client.geographicalContext.city`	`principal.location.city`
`msg.client.geographicalContext.country`	`principal.location.country_or_region`
`msg.client.geographicalContext.geolocation.lat`	`principal.location.region_latitude`
`msg.client.geographicalContext.geolocation.lon`	`principal.location.region_longitude`
`msg.client.geographicalContext.postalCode`	`additional.fields`
`msg.client.geographicalContext.state`	`principal.location.state`
`msg.client.ipAddress`	`principal.ip`
`msg.client.userAgent.browser`	`target.resource.attribute.labels`
`msg.client.userAgent.os`	`principal.platform`	Unterstützt: LINUX, WINDOWS, MAC, IOS, ANDROID, CHROME_OS
`msg.client.userAgent.rawUserAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`msg.debugContext.debugData.dtHash`	`security_result.detection_fields`
`msg.debugContext.debugData.factor`	`security_result.detection_fields`
`msg.debugContext.debugData.factorIntent`	`security_result.detection_fields`
`msg.debugContext.debugData.logOnlySecurityData.behaviors`	`security_result.description`
`msg.debugContext.debugData.logOnlySecurityData.risk.reasons`	`security_result.detection_fields`
`msg.debugContext.debugData.logOnlySecurityData.url`	`target.url`
`msg.debugContext.debugData.pushOnlyResponseType`	`security_result.detection_fields`
`msg.debugContext.debugData.pushWithNumberChallengeResponseType`	`security_result.detection_fields`
`msg.debugContext.debugData.requestUri`	`extensions.auth.auth_details`
`msg.debugContext.debugData.threatSuspected`	`security_result.detection_fields` `security_result.threat_status`
`msg.displayMessage`	`security_result.summary`
`msg.eventType`	`metadata.product_event_type`
`msg.legacyEventType`	`security_result.detection_fields`
`msg.outcome.reason`	`security_result.category_details`
`msg.outcome.result`	`security_result.action`
`msg.published`	`metadata.event_timestamp`
`msg.request.ipChain.n.geographicalContext.city`	`intermediary[n].location.city`
`msg.request.ipChain.n.geographicalContext.country`	`intermediary[n].location.country_or_region`
`msg.request.ipChain.n.geographicalContext.geolocation.lat`	`intermediary[n].location.region_latitude`
`msg.request.ipChain.n.geographicalContext.geolocation.lon`	`intermediary[n].location.region_longitude`
`msg.request.ipChain.n.geographicalContext.state`	`intermediary[n].location.state`
`msg.request.ipChain.n.ip`	`intermediary[n].ip`
`msg.securityContext.asNumber`	`security_result.detection_fields`
`msg.securityContext.asOrg`	`security_result.detection_fields`
`msg.securityContext.domain`	`security_result.detection_fields`
`msg.securityContext.isProxy`	`security_result.detection_fields`
`msg.securityContext.isp`	`security_result.detection_fields`
`msg.severity`	`security_result.severity`
`msg.target.alternateId (when msg.target.type == User)`	`target.user.email_addresses`	Wenn `msg.target.type` = `User`. Wenn das Parsen jedoch fehlschlägt, wird dies `target.user.userid` zugeordnet. Andernfalls wird `target_user_nametarget.user.userid`zugeordnet.
`msg.target.detailEntry.policyType`	`target.resource_ancestors.attribute.labels`	Wenn `msg.target.type` = `PolicyEntity`.
`msg.target.detailEntry.signOnModeType`	`security_result.detection_fields`	Wenn `msg.target.type` ein anderer Fall als `AppInstance`, `PolicyEntity`, `PolicyRule` oder `User` ist.
`msg.target.displayName`	`additional.fields`
`msg.target.displayName`	`about.resource.name`	Wenn `msg.target.type` ein anderer Fall als `AppInstance`, `PolicyEntity`, `PolicyRule` oder `User` ist.
`msg.target.displayName`	`principal.user.user_display_name`	Wenn `msg.target.type` = `User`.
`msg.target.displayName`	`target.application`	Wenn `msg.target.type` = `AppInstance`.
`msg.target.displayName`	`target.resource.name`	Wenn `msg.target.type` = `AppInstance`.
`msg.target.displayName`	`target.resource.name`	Wenn `msg.target.type` = `PolicyRule`.
`msg.target.displayName`	`target.resource_ancestors.name`	Wenn `msg.target.type` = `PolicyEntity`.
`msg.target.id`	`about.resource.product_object_id`	Wenn `msg.target.type` ein anderer Fall als `AppInstance`, `PolicyEntity`, `PolicyRule` oder `User` ist.
`msg.target.id`	`target.resource.product_object_id`	Wenn `msg.target.type` = `AppInstance`.
`msg.target.id`	`target.resource.product_object_id`	Wenn `msg.target.type` = `PolicyRule`.
`msg.target.id`	`target.resource_ancestors.product_object_id`	Wenn `msg.target.type` = `PolicyEntity`.
`msg.target.id`	`target.user.product_object_id`	Wenn `msg.target.type` = `User`.
`msg.target.type`	`about.resource.resource_subtype`	Wenn `msg.target.type` ein anderer Fall als `AppInstance`, `PolicyEntity`, `PolicyRule` oder `User` ist.
`msg.target.type`	`target.resource.resource_subtype`	Wenn `msg.target.type` = `AppInstance`.
`msg.target.type`	`target.resource.resource_subtype`	Wenn `msg.target.type` = `PolicyRule`.
`msg.target.type`	`target.resource_ancestors.resource_subtype`	Wenn `msg.target.type` = `PolicyEntity`.
`msg.target.type`	`target.user.attribute.roles.name`	Wenn `msg.target.type` = `User`.
`msg.transaction.id`	`network.session_id`
`msg.transaction.type`	`additional.fields`	Event_type
`msg.uuid`	`metadata.product_log_id`
`operator`	`security_result.detection_fields`
`outcome.reason` `detail.outcome.reason`	`security_result.category_details`
`outcome.result` `detail.outcome.result`	`security_result.action`
`profile.displayName`	`principal.user.user_display_name`
`profile.email`	`principal.user.email_addresses`
`profile.login`	`principal.user.userid`	Nutzername => `principal.user.userid`
`published`	`metadata.event_timestamp`
`published`	`metadata.event_timestamp`
`request.ipChain.0.geographicalContext.city` `detail.request.ipChain.0.geographicalContext.city`	`principal.location.city`
`request.ipChain.0.geographicalContext.country` `detail.request.ipChain.0.geographicalContext.country`	`principal.location.country_or_region`
`request.ipChain.0.geographicalContext.state` `detail.request.ipChain.0.geographicalContext.state`	`principal.location.state`
`request.ipChain.0.ip`	`principal.ip` `principal.asset.ip`
`request.ipChain.1.geographicalContext.city`	`intermediary.location.city`
`request.ipChain.1.geographicalContext.country`	`intermediary.location.country_or_region`
`request.ipChain.1.geographicalContext.state`	`intermediary.location.state`
`securityContext.asNumber`	`security_result.detection_fields`
`securityContext.asOrg`	`security_result.detection_fields`
`securityContext.domain`	`security_result.detection_fields`
`securityContext.isProxy`	`security_result.detection_fields`
`securityContext.isProxy`	`security_result.detection_fields` `additional.fields`
`securityContext.isp`	`security_result.detection_fields`
`severity` `detail.severity`	`security_result.severity`
`target[].alternateId`	`target.resource.attribute.labels`
`target[].detailEntry.methodTypeUsed`	`target.resource_ancestors.attribute.labels`
`target[].detailEntry.methodUsedVerifiedProperties`	`target.resource_ancestors.attribute.labels`
`target[].detailEntry.policyRuleFactorMode`	`security_result.detection_fields`
`target[].detailEntry.policyType`	`target.resource_ancestors.attribute.labels`
`target[].detailEntry.signOnModeType`	`security_result.detection_fields`
`target[].displayName`	`additional.fields`
`target[].displayName`	`target.application` `target.resource.name`
`target[].displayName`	`target.resource.name`
`target[].displayName`	`target.resource_ancestors.name`
`target[].id`	`target.resource.product_object_id`
`target[].id`	`target.resource_ancestors.product_object_id`
`target[].type`	`target.resource.resource_subtype`
`target[].type`	`target.resource_ancestors.resource_subtype`
`target.0.alternateId`	Siehe Anmerkung.	`tgtuser_id` => `target.user.userid` `%{tgtusername}@%{tgtdomain}` => `target.user.email_addresses`
`target.0.detailEntry.clientAppId`	`target.asset_id`
`target.0.displayName` `detail.target.0.displayName`	`target.user.user_display_name`
`target.0.displayName`/`target.1.displayName`	`target.user.group_identifiers`
`target.0.id`	`target.user.product_object_id`
`target.0.type` `detail.target.0.type`	`target.user.attribute.roles.name`
`target.1.alternateId`	Siehe Anmerkung.	`tgtuser_id` => `target.user.userid` `%{tgtusername}@%{tgtdomain}` => `target.user.email_addresses`
`target.1.detailEntry.clientAppId`	`target.asset_id`
`target.1.displayName`	`target.user.user_display_name`
`target.1.id`	`target.user.product_object_id`
`target.1.type`	`target.user.attribute.roles.name`
`transaction.id`	`network.session_id`
`type`	`security_result.detection_fields`
`user_agent.browser`	`target.resource.attribute.labels`
`user_email`	`principal.user.email_addresses`	Wenn eventType `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`user_email`	`principal.user.email_addresses`	Wenn eventType nicht `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`user_id`	`principal.user.userid`	Wenn eventType `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`user_id`	`principal.user.userid`	Wenn eventType nicht `application.user_membership.update`, `policy.rule.update` oder `user.authentication.auth_via_radius` ist.
`uuid`	`metadata.product_log_id`
`uuid`	`metadata.product_log_id`

UDM-Abgleichsdelta-Referenz

Am 26. August 2025 hat Google SecOps eine neue Version des Okta-Parsers veröffentlicht, die erhebliche Änderungen bei der Zuordnung von Okta-Logfeldern zu UDM-Feldern und Änderungen bei der Zuordnung von Ereignistypen enthält.

Delta der Zuordnung von Logfeldern

In der folgenden Tabelle ist das Zuordnungsdelta für Okta-Log-zu-UDM-Felder aufgeführt, die vor dem 26. August 2025 und danach verfügbar waren (in den Spalten Alte Zuordnung bzw. Aktuelle Zuordnung).

Logfeld	Alte Zuordnung	Aktuelle Zuordnung
`client.geographicalContext.geolocation.lat`	`target.location.region_latitude`	`principal.location.region_coordinates.latitude`
`client.geographicalContext.geolocation.lon`	`target.location.region_longitude`	`principal.location.region_coordinates.longitude`
`created`	`target.resource.attribute.labels`	`metadata.event_timestamp`
`debugContext.debugData.authnRequestId`	`additional.fields`	`security_result.detection_fields`
`debugContext.debugData.factorType`	`additional.fields`	`security_result.detection_fields`
`debugContext.debugData.traceId`	`additional.fields`	`security_result.detection_fields`
`debugContext.debugData.tunnels.anonymous`	`security_result.detection_fields`	`network.proxy_info.anonymous`
`lastUpdated`	`target.resource.attribute.labels`	`target.resource.attribute.last_update_time`
`platform`, wenn die Plattform iOS ist	`principal.platform` = `MAC`	`principal.platform` = `IOS`
`securityContext.asOrg`	`security_result.detection_fields`	`network.organization_name`
`securityContext.isProxy`	`additional.fields`	`network.is_proxy`
`target.detailEntry.methodTypeUsed`	`target.resource.attribute.labels`	`security_result.detection_fields`
`target.detailEntry.methodUsedVerifiedProperties`	`target.resource.attribute.labels`	`security_result.detection_fields`

Delta der Ereignistypzuordnung

Mehrere Ereignisse, die zuvor als generisches Ereignis klassifiziert wurden, werden jetzt korrekt mit aussagekräftigen Ereignistypen klassifiziert.

In der folgenden Tabelle ist das Delta für die Verarbeitung von Okta-Ereignistypen vor dem 26. August 2025 und danach aufgeführt (in den Spalten Old event_type und Current event-type).

eventType aus dem Log	Alter event_type	Aktueller event_type
`app.oauth2.as.authorize`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.as.authorize.code`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.as.authorize.implicit.access_token`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.as.authorize.implicit.id_token`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.authorize.code`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.token.grant`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`application.user_membership.remove`	`USER_UNCATEGORIZED`	`USER_CHANGE_PERMISSIONS`
`application.user_membership.update`	`STATUS_UPDATE`	`USER_CHANGE_PERMISSIONS`
`user.authentication.auth_via_AD_agent`	`STATUS_UPDATE`	`USER_UNCATEGORIZED`
`user.authentication.slo`	`USER_UNCATEGORIZED`	`USER_LOGOUT`

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten