Cette page a été traduite par l'API Cloud Translation.

Collecter les journaux Okta

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer des journaux Okta dans Google Security Operations à l'aide de l'API Okta. L'analyseur extrait les journaux système, en gérant à la fois les événements uniques et les événements par lot dans un tableau JSON. Il normalise les données au format UDM, mappe les champs Okta à leurs équivalents UDM, enrichit les données avec les user-agents analysés, les informations géographiques et les détails d'authentification, et génère des événements de résultats de sécurité en fonction des résultats et des informations sur les risques.

Avant de commencer

Instance Google SecOps
Accès privilégié à Okta

Configurer Okta

Pour configurer l'authentification unique Okta, effectuez les tâches suivantes :

Créer un utilisateur administrateur Okta avec des droits en lecture seule

Connectez-vous à la console d'administration Okta.
Créez un utilisateur standard.
- Accédez à Annuaire > Personnes.
- Cliquez sur Ajouter une personne et renseignez les champs obligatoires.
Remarque : Si vous disposez déjà d'un utilisateur standard que vous souhaitez transformer en administrateur en lecture seule, passez à l'étape suivante.
Sélectionnez Sécurité > Administrateurs.
Cliquez sur Ajouter un administrateur.
Dans le champ Attribution d'administrateur par un administrateur, recherchez l'utilisateur standard.
Dans la section Rôles, sélectionnez Administrateur en lecture seule dans la liste.
Déconnectez-vous du compte administrateur.

Obtenir une clé API

Connectez-vous à la console d'administration Okta avec l'utilisateur administrateur en lecture seule.
Accédez à Sécurité > API > Jetons.
Cliquez sur Créer un jeton.
Attribuez un nom explicite au jeton.
Indiquez la zone d'adresses IP où l'API sera utilisée (vous pouvez sélectionner n'importe quelle adresse IP si vous n'êtes pas sûr).
Cliquez sur Créer un jeton.
Copiez la clé API.
Cliquez sur OK.

Configurer des flux

Il existe deux points d'entrée différents pour configurer les flux dans la plate-forme Google SecOps :

Paramètres SIEM> Flux > Ajouter un flux
Plate-forme de contenu> Packs de contenu> Premiers pas

Configurer le flux Okta

Pour configurer ce type de journal, procédez comme suit :

Cliquez sur le pack Okta.
Recherchez le type de journal Okta.
Indiquez les valeurs des champs suivants :
- Type de source : API tierce (recommandé)
- En-tête HTTP d'authentification : saisissez la clé API Okta au format suivant : Authorization:<API_KEY>.
- Nom d'hôte de l'API : spécifiez le nom de domaine de votre hôte Okta (par exemple, <your-domain>.okta.com).
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé appliqué aux événements de ce flux.
Options avancées
- Nom du flux : valeur préremplie qui identifie le flux.
- Espace de noms de l'élément : espace de noms associé au flux.
- Libellés d'ingestion : libellés appliqués à tous les événements de ce flux.
Cliquez sur Créer un flux.

Pour en savoir plus sur la configuration de plusieurs flux pour différents types de journaux dans cette famille de produits, consultez Configurer des flux par produit.

Table de mappage UDM

Champ du journal	Mappage UDM	Remarque
`actor.displayName`	`principal.resource.attribute.labels`
`assigned_group[]`	`security_result.detection_fields`
`created`	`target.resource.attribute.labels`
`credentials.oauthClient.autoKeyRotation`	`security_result.detection_fields`
`credentials.oauthClient.pkce_required`	`security_result.detection_fields`
`credentials.oauthClient.token_endpoint_auth_method`	`security_result.detection_fields`
`credentials.signing.kid`	`security_result.detection_fields`
`credentials.userNameTemplate.pushStatus`	`security_result.detection_fields`
`credentials.userNameTemplate.template`	`metadata.product_event_type`
`credentials.userNameTemplate.type`	`security_result.detection_fields`
`id`	`principal.user.userid`
`label`	`target.resource.attribute.labels`
`lastUpdated`	`target.resource.attribute.labels`
`orn`	`target.resource.attribute.labels`
`settings.implicitAssignment`	`security_result.detection_fields`
`settings.manualProvisioning`	`security_result.detection_fields`
`settings.notifications.vpn.network.connection`	`security_result.detection_fields`
`settings.notifications.vpn.network.helpUrl`	`security_result.detection_fields`
`settings.notifications.vpn.network.message`	`security_result.detection_fields`
`settings.oauthClient.application_type`	`security_result.detection_fields`
`settings.oauthClient.client_uri`	`security_result.detection_fields`
`settings.oauthClient.consent_method`	`security_result.detection_fields`
`settings.oauthClient.dpop_bound_access_tokens`	`security_result.detection_fields`
`settings.oauthClient.grant_types[]`	`security_result.detection_fields`
`settings.oauthClient.idp_initiated_login.mode`	`security_result.detection_fields`
`settings.oauthClient.initiate_login_uri`	`security_result.detection_fields`
`settings.oauthClient.issuer_mode`	`security_result.detection_fields`
`settings.oauthClient.logo_uri`	`security_result.detection_fields`
`settings.oauthClient.pkce_required`	`security_result.detection_fields`
`settings.oauthClient.redirect_uris[]`	`security_result.detection_fields`
`settings.oauthClient.response_types[]`	`security_result.detection_fields`
`settings.oauthClient.token_endpoint_auth_method`	`security_result.detection_fields`
`settings.oauthClient.wildcard_redirect`	`security_result.detection_fields`
`settings.signOn.acsUrl`	`security_result.detection_fields`
`settings.signOn.assertionSigned`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].filterType`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].filterValue`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].name`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].namespace`	`security_result.detection_fields`
`settings.signOn.attributeStatements[0].type`	`security_result.detection_fields`
`settings.signOn.audience`	`security_result.detection_fields`
`settings.signOn.authnContextClassRef`	`security_result.detection_fields`
`settings.signOn.defaultRelayState`	`security_result.detection_fields`
`settings.signOn.destination`	`security_result.detection_fields`
`settings.signOn.digestAlgorithm`	`security_result.detection_fields`
`settings.signOn.idpIssuer`	`security_result.detection_fields`
`settings.signOn.recipient`	`security_result.detection_fields`
`settings.signOn.responseSigned`	`security_result.detection_fields`
`settings.signOn.signatureAlgorithm`	`security_result.detection_fields`
`settings.signOn.subjectNameIdFormat`	`security_result.detection_fields`
`settings.signOn.subjectNameIdTemplate`	`security_result.detection_fields`
`signOnMode`	`security_result.detection_fields`
`status`	`security_result.detection_fields`
`visibility.appLinks.oidc_client_link`	`security_result.detection_fields`
`visibility.autoSubmitToolbar`	`security_result.detection_fields`
`visibility.hide.iOS`	`security_result.detection_fields`
`visibility.hide.web`	`security_result.detection_fields`
N/A	`metadata.vendor_name`	Variable définie sur `Okta`.
N/A	`metadata.product_name`	Variable définie sur `Okta`.
N/A	`extensions.auth.type`	Variable définie sur `SSO`.

Table de mappage de tableau

Le tableau suivant liste le mappage des éléments de tableau Okta vers les champs UDM répétés.

Tableau de journaux	Tableau d'événements	Remarque
`actor.alternateId`	`TBD`
`actor.displayName`	`principal.user.user_display_name`	Lorsque eventType est défini sur `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`actor.displayName`	`principal.user.user_display_name`	Lorsque eventType n'est pas `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`actor.type`	`principal.user.attribute.roles.name`	Lorsque eventType est défini sur `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`actor.type`	`principal.user.attribute.roles.name`	Lorsque eventType n'est pas `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`anonymous`	`security_result.detection_fields`
`authenticationContext.externalSessionId`	`network.parent_session_id`
`client.device`	`principal.asset.type`	Systèmes d'exploitation compatibles : LINUX, WINDOWS, MAC, IOS, ANDROID, CHROME_OS
`client.device`	`additional.fields`	Event_type
`client.geographicalContext.city`	`principal.location.city`
`client.geographicalContext.country`	`principal.location.country_or_region`
`client.geographicalContext.geolocation.lat`	`principal.location.region_latitude`
`client.geographicalContext.geolocation.lon`	`principal.location.region_longitude`
`client.geographicalContext.postalCode`	`additional.fields`
`client.geographicalContext.postalCode`	`target.resource.attribute.labels`
`client.ipAddress`	`principal.ip`
`client.userAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`client.userAgent.browser`	`target.resource.attribute.labels`
`client.userAgent.os`	`principal.platform`
`client.userAgent.os`	`principal.platform`
`client.userAgent.rawUserAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`client.zone`	`additional.fields`	Event_type
`debugContext.debugData.behaviors.New City`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New Country`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New Device`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New Geo-Location`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New IP`	`security_result.detection_fields`
`debugContext.debugData.behaviors.New State`	`security_result.detection_fields`
`debugContext.debugData.behaviors.Velocity`	`security_result.detection_fields`
`debugContext.debugData.clientAddress`	`principal.ip` `principal.asset.ip`
`debugContext.debugData.dtHash`	`security_result.detection_fields`
`debugContext.debugData.factor`	`security_result.detection_fields`
`debugContext.debugData.factorIntent`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors`	`security_result.description`
`debugContext.debugData.logOnlySecurityData.behaviors.New City`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New Country`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New Device`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New Geo-Location`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New IP`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.New State`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.behaviors.Velocity`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.risk.reasons`	`security_result.detection_fields`
`debugContext.debugData.logOnlySecurityData.risk.reasons`	`security_result.description`
`debugContext.debugData.logOnlySecurityData.risk.level`	`security_result.severity_details`
`debugContext.debugData.logOnlySecurityData.url`	`target.url`
`debugContext.debugData.privilegeGranted[]`	`target.user.attribute.roles.name` `target.user.attribute.roles.description`
`debugContext.debugData.pushOnlyResponseType`	`security_result.detection_fields`
`debugContext.debugData.pushWithNumberChallengeResponseType`	`security_result.detection_fields`
`debugContext.debugData.requestUri`	`extensions.auth.auth_details`
`debugContext.debugData.requestUri`	`target.url`
`debugContext.debugData.risk`	`security_result.detection_fields`	Raisons associées à `security_result.detection_fields`.
`debugContext.debugData.suspiciousActivityEventId`	`security_result.detection_fields`
`debugContext.debugData.suspiciousActivityEventType`	`security_result.detection_fields`
`debugContext.debugData.threatDetections`	`security_result.detection_fields`
`debugContext.debugData.threatSuspected`	`security_result.detection_fields` `security_result.threat_status`
`debugContext.debugData.threatSuspected`	`security_result.detection_fields` `security_result.threat_status`
`debugContext.debugData.tunnels[].anonymous`	`security_result.detection_fields`
`debugContext.debugData.tunnels[].operator`	`security_result.detection_fields`
`debugContext.debugData.tunnels[].type`	`security_result.detection_fields`
`debugContext.debugData.tunnels.n.anonymous`	`security_result.detection_fields`
`debugContext.debugData.tunnels.n.operator`	`security_result.detection_fields`
`debugContext.debugData.tunnels.n.type`	`security_result.detection_fields`
`detail.actor.id`	`principal.user.product_object_id`	Lorsque eventType est défini sur `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`detail.actor.id`	`principal.user.product_object_id`	Lorsque eventType n'est pas `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`detail.authenticationContext.externalSessionId`	`network.parent_session_id`
`detail.client.ipChain.0.ip` `client.ipAddress`	`principal.ip` `principal.asset.ip`
`detail.debugContext.debugData.dtHash`	`security_result.detection_fields`
`detail.debugContext.debugData.factor`	`security_result.detection_fields`
`detail.debugContext.debugData.factorIntent`	`security_result.detection_fields`
`detail.debugContext.debugData.pushOnlyResponseType`	`security_result.detection_fields`
`detail.debugContext.debugData.pushWithNumberChallengeResponseType`	`security_result.detection_fields`
`detail.debugContext.debugData.requestUri`	`target.url`
`detail.eventType`	`metadata.product_event_type`
`detail.outcome.reason`	`security_result.category_details`
`detail.outcome.result`	`security_result.action`
`detail.request.ipChain.0.geographicalContext.city`	`principal.location.city`
`detail.request.ipChain.0.geographicalContext.country`	`principal.location.country_or_region`
`detail.request.ipChain.0.geographicalContext.state`	`principal.location.state`
`detail.severity`	`security_result.severity`
`detail.target.0.alternateId`	Voir la remarque.	`tgtuser_id` => `target.user.userid` `%{tgtusername}@%{tgtdomain}` => `target.user.email_addresses`
`detail.target.0.displayName`	`target.application` `target.resource.name`
`detail.target.0.displayName`	`target.user.user_display_name`
`detail.target.0.detailEntry.policyType}`	`target.resource_ancestors.attribute.labels`
`detail.target.0.id`	`target.resource.product_object_id`
`detail.target.0.id`	`target.resource_ancestors.product_object_id`
`detail.target.0.type`	`target.resource.resource_subtype`
`detail.target.0.type`	`target.resource_ancestors.resource_subtype`
`detail.uuid`	`metadata.product_log_id`
`displayMessage`	`security_result.summary`
`extensions.auth.type`	`SSO`	Event_type
`extensions.auth.type`	`SSO`	Lorsque `msg.target.type` correspond à un autre cas que `AppInstance`, `PolicyEntity`, `PolicyRule` ou `User`.
`eventType`	`metadata.product_event_type`
`eventType` `detail.eventType`	`metadata.product_event_type`
`json_array.n.actor.id`	`principal.user.product_object_id`
`mapped data.fields to fields`
`metadata.product_name`	`Okta`	Event_type
`metadata.vendor_name`	`Okta`	Event_type
`msg.actor.alternateId`	Voir la remarque.	Si l'analyse échoue, le nom d'utilisateur est mappé sur `principal.user.userid`, ou le nom d'utilisateur est mappé sur `principal.user.userid` , ou le nom d'utilisateur@domaine est mappé sur `principal.user.email_addresses`.
`msg.actor.displayName`	`principal.user.user_display_name`
`msg.actor.type`	`principal.user.attribute.roles.name`
`msg.authenticationContext.authenticationProvider`	`security_result.detection_fields`	Event_type
`msg.authenticationContext.credentialProvider`	`security_result.detection_fields`	Event_type
`msg.authenticationContext.externalSessionId`	`network.parent_session_id`
`msg.client.device`	`principal.asset.type`	Types d'appareils compatibles : MOBILE, WORKSTATION, LAPTOP, IOT, NETWORK_ATTACHED_STORAGE, PRINTER, SCANNER, SERVER, TAPE_LIBRARY
`msg.client.geographicalContext.city`	`principal.location.city`
`msg.client.geographicalContext.country`	`principal.location.country_or_region`
`msg.client.geographicalContext.geolocation.lat`	`principal.location.region_latitude`
`msg.client.geographicalContext.geolocation.lon`	`principal.location.region_longitude`
`msg.client.geographicalContext.postalCode`	`additional.fields`
`msg.client.geographicalContext.state`	`principal.location.state`
`msg.client.ipAddress`	`principal.ip`
`msg.client.userAgent.browser`	`target.resource.attribute.labels`
`msg.client.userAgent.os`	`principal.platform`	Systèmes d'exploitation compatibles : LINUX, WINDOWS, MAC, IOS, ANDROID, CHROME_OS
`msg.client.userAgent.rawUserAgent`	`network.http.user_agent` `network.http.parsed_user_agent`
`msg.debugContext.debugData.dtHash`	`security_result.detection_fields`
`msg.debugContext.debugData.factor`	`security_result.detection_fields`
`msg.debugContext.debugData.factorIntent`	`security_result.detection_fields`
`msg.debugContext.debugData.logOnlySecurityData.behaviors`	`security_result.description`
`msg.debugContext.debugData.logOnlySecurityData.risk.reasons`	`security_result.detection_fields`
`msg.debugContext.debugData.logOnlySecurityData.url`	`target.url`
`msg.debugContext.debugData.pushOnlyResponseType`	`security_result.detection_fields`
`msg.debugContext.debugData.pushWithNumberChallengeResponseType`	`security_result.detection_fields`
`msg.debugContext.debugData.requestUri`	`extensions.auth.auth_details`
`msg.debugContext.debugData.threatSuspected`	`security_result.detection_fields` `security_result.threat_status`
`msg.displayMessage`	`security_result.summary`
`msg.eventType`	`metadata.product_event_type`
`msg.legacyEventType`	`security_result.detection_fields`
`msg.outcome.reason`	`security_result.category_details`
`msg.outcome.result`	`security_result.action`
`msg.published`	`metadata.event_timestamp`
`msg.request.ipChain.n.geographicalContext.city`	`intermediary[n].location.city`
`msg.request.ipChain.n.geographicalContext.country`	`intermediary[n].location.country_or_region`
`msg.request.ipChain.n.geographicalContext.geolocation.lat`	`intermediary[n].location.region_latitude`
`msg.request.ipChain.n.geographicalContext.geolocation.lon`	`intermediary[n].location.region_longitude`
`msg.request.ipChain.n.geographicalContext.state`	`intermediary[n].location.state`
`msg.request.ipChain.n.ip`	`intermediary[n].ip`
`msg.securityContext.asNumber`	`security_result.detection_fields`
`msg.securityContext.asOrg`	`security_result.detection_fields`
`msg.securityContext.domain`	`security_result.detection_fields`
`msg.securityContext.isProxy`	`security_result.detection_fields`
`msg.securityContext.isp`	`security_result.detection_fields`
`msg.severity`	`security_result.severity`
`msg.target.alternateId (when msg.target.type == User)`	`target.user.email_addresses`	Lorsque `msg.target.type` = `User`. Toutefois, si l'analyse échoue, cela est mappé sur `target.user.userid` , sinon `target_user_name` est mappé sur `target.user.userid`.
`msg.target.detailEntry.policyType`	`target.resource_ancestors.attribute.labels`	Lorsque `msg.target.type` = `PolicyEntity`.
`msg.target.detailEntry.signOnModeType`	`security_result.detection_fields`	Lorsque `msg.target.type` correspond à un autre cas que `AppInstance`, `PolicyEntity`, `PolicyRule` ou `User`.
`msg.target.displayName`	`additional.fields`
`msg.target.displayName`	`about.resource.name`	Lorsque `msg.target.type` correspond à un autre cas que `AppInstance`, `PolicyEntity`, `PolicyRule` ou `User`.
`msg.target.displayName`	`principal.user.user_display_name`	Lorsque `msg.target.type` = `User`.
`msg.target.displayName`	`target.application`	Lorsque `msg.target.type` = `AppInstance`.
`msg.target.displayName`	`target.resource.name`	Lorsque `msg.target.type` = `AppInstance`.
`msg.target.displayName`	`target.resource.name`	Lorsque `msg.target.type` = `PolicyRule`.
`msg.target.displayName`	`target.resource_ancestors.name`	Lorsque `msg.target.type` = `PolicyEntity`.
`msg.target.id`	`about.resource.product_object_id`	Lorsque `msg.target.type` correspond à un autre cas que `AppInstance`, `PolicyEntity`, `PolicyRule` ou `User`.
`msg.target.id`	`target.resource.product_object_id`	Lorsque `msg.target.type` = `AppInstance`.
`msg.target.id`	`target.resource.product_object_id`	Lorsque `msg.target.type` = `PolicyRule`.
`msg.target.id`	`target.resource_ancestors.product_object_id`	Lorsque `msg.target.type` = `PolicyEntity`.
`msg.target.id`	`target.user.product_object_id`	Lorsque `msg.target.type` = `User`.
`msg.target.type`	`about.resource.resource_subtype`	Lorsque `msg.target.type` correspond à un autre cas que `AppInstance`, `PolicyEntity`, `PolicyRule` ou `User`.
`msg.target.type`	`target.resource.resource_subtype`	Lorsque `msg.target.type` = `AppInstance`.
`msg.target.type`	`target.resource.resource_subtype`	Lorsque `msg.target.type` = `PolicyRule`.
`msg.target.type`	`target.resource_ancestors.resource_subtype`	Lorsque `msg.target.type` = `PolicyEntity`.
`msg.target.type`	`target.user.attribute.roles.name`	Lorsque `msg.target.type` = `User`.
`msg.transaction.id`	`network.session_id`
`msg.transaction.type`	`additional.fields`	Event_type
`msg.uuid`	`metadata.product_log_id`
`operator`	`security_result.detection_fields`
`outcome.reason` `detail.outcome.reason`	`security_result.category_details`
`outcome.result` `detail.outcome.result`	`security_result.action`
`profile.displayName`	`principal.user.user_display_name`
`profile.email`	`principal.user.email_addresses`
`profile.login`	`principal.user.userid`	nom d'utilisateur => `principal.user.userid`
`published`	`metadata.event_timestamp`
`published`	`metadata.event_timestamp`
`request.ipChain.0.geographicalContext.city` `detail.request.ipChain.0.geographicalContext.city`	`principal.location.city`
`request.ipChain.0.geographicalContext.country` `detail.request.ipChain.0.geographicalContext.country`	`principal.location.country_or_region`
`request.ipChain.0.geographicalContext.state` `detail.request.ipChain.0.geographicalContext.state`	`principal.location.state`
`request.ipChain.0.ip`	`principal.ip` `principal.asset.ip`
`request.ipChain.1.geographicalContext.city`	`intermediary.location.city`
`request.ipChain.1.geographicalContext.country`	`intermediary.location.country_or_region`
`request.ipChain.1.geographicalContext.state`	`intermediary.location.state`
`securityContext.asNumber`	`security_result.detection_fields`
`securityContext.asOrg`	`security_result.detection_fields`
`securityContext.domain`	`security_result.detection_fields`
`securityContext.isProxy`	`security_result.detection_fields`
`securityContext.isProxy`	`security_result.detection_fields` `additional.fields`
`securityContext.isp`	`security_result.detection_fields`
`severity` `detail.severity`	`security_result.severity`
`target[].alternateId`	`target.resource.attribute.labels`
`target[].detailEntry.methodTypeUsed`	`target.resource_ancestors.attribute.labels`
`target[].detailEntry.methodUsedVerifiedProperties`	`target.resource_ancestors.attribute.labels`
`target[].detailEntry.policyRuleFactorMode`	`security_result.detection_fields`
`target[].detailEntry.policyType`	`target.resource_ancestors.attribute.labels`
`target[].detailEntry.signOnModeType`	`security_result.detection_fields`
`target[].displayName`	`additional.fields`
`target[].displayName`	`target.application` `target.resource.name`
`target[].displayName`	`target.resource.name`
`target[].displayName`	`target.resource_ancestors.name`
`target[].id`	`target.resource.product_object_id`
`target[].id`	`target.resource_ancestors.product_object_id`
`target[].type`	`target.resource.resource_subtype`
`target[].type`	`target.resource_ancestors.resource_subtype`
`target.0.alternateId`	Voir la remarque.	`tgtuser_id` => `target.user.userid` `%{tgtusername}@%{tgtdomain}` => `target.user.email_addresses`
`target.0.detailEntry.clientAppId`	`target.asset_id`
`target.0.displayName` `detail.target.0.displayName`	`target.user.user_display_name`
`target.0.displayName`/`target.1.displayName`	`target.user.group_identifiers`
`target.0.id`	`target.user.product_object_id`
`target.0.type` `detail.target.0.type`	`target.user.attribute.roles.name`
`target.1.alternateId`	Voir la remarque.	`tgtuser_id` => `target.user.userid` `%{tgtusername}@%{tgtdomain}` => `target.user.email_addresses`
`target.1.detailEntry.clientAppId`	`target.asset_id`
`target.1.displayName`	`target.user.user_display_name`
`target.1.id`	`target.user.product_object_id`
`target.1.type`	`target.user.attribute.roles.name`
`transaction.id`	`network.session_id`
`type`	`security_result.detection_fields`
`user_agent.browser`	`target.resource.attribute.labels`
`user_email`	`principal.user.email_addresses`	Lorsque eventType est défini sur `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`user_email`	`principal.user.email_addresses`	Lorsque eventType n'est pas `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`user_id`	`principal.user.userid`	Lorsque eventType est défini sur `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`user_id`	`principal.user.userid`	Lorsque eventType n'est pas `application.user_membership.update`, `policy.rule.update` ou `user.authentication.auth_via_radius`.
`uuid`	`metadata.product_log_id`
`uuid`	`metadata.product_log_id`

Référence du delta de mappage UDM

Le 26 août 2025, Google SecOps a publié une nouvelle version de l'analyseur Okta, qui inclut des modifications importantes concernant le mappage des champs de journaux Okta vers les champs UDM et le mappage des types d'événements.

Delta de mappage entre les champs de journaux

Le tableau suivant répertorie le delta de mappage pour les champs de journaux Okta vers UDM exposés avant le 26 août 2025 et après (indiqués respectivement dans les colonnes Ancien mappage et Mappage actuel).

Champ du journal	Ancienne mise en correspondance	Mappage actuel
`client.geographicalContext.geolocation.lat`	`target.location.region_latitude`	`principal.location.region_coordinates.latitude`
`client.geographicalContext.geolocation.lon`	`target.location.region_longitude`	`principal.location.region_coordinates.longitude`
`created`	`target.resource.attribute.labels`	`metadata.event_timestamp`
`debugContext.debugData.authnRequestId`	`additional.fields`	`security_result.detection_fields`
`debugContext.debugData.factorType`	`additional.fields`	`security_result.detection_fields`
`debugContext.debugData.traceId`	`additional.fields`	`security_result.detection_fields`
`debugContext.debugData.tunnels.anonymous`	`security_result.detection_fields`	`network.proxy_info.anonymous`
`lastUpdated`	`target.resource.attribute.labels`	`target.resource.attribute.last_update_time`
`platform` lorsque la plate-forme est iOS	`principal.platform` = `MAC`	`principal.platform` = `IOS`
`securityContext.asOrg`	`security_result.detection_fields`	`network.organization_name`
`securityContext.isProxy`	`additional.fields`	`network.is_proxy`
`target.detailEntry.methodTypeUsed`	`target.resource.attribute.labels`	`security_result.detection_fields`
`target.detailEntry.methodUsedVerifiedProperties`	`target.resource.attribute.labels`	`security_result.detection_fields`

Delta de mappage des types d'événements

Plusieurs événements qui étaient auparavant classés comme événements génériques sont désormais correctement classés avec des types d'événements pertinents.

Le tableau suivant répertorie le delta pour la gestion des types d'événements Okta avant et après le 26 août 2025 (respectivement listés dans les colonnes Ancien event_type et event_type actuel).

eventType from log	Ancien event_type	Current event_type
`app.oauth2.as.authorize`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.as.authorize.code`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.as.authorize.implicit.access_token`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.as.authorize.implicit.id_token`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.authorize.code`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`app.oauth2.token.grant`	`USER_UNCATEGORIZED`	`USER_LOGIN`
`application.user_membership.remove`	`USER_UNCATEGORIZED`	`USER_CHANGE_PERMISSIONS`
`application.user_membership.update`	`STATUS_UPDATE`	`USER_CHANGE_PERMISSIONS`
`user.authentication.auth_via_AD_agent`	`STATUS_UPDATE`	`USER_UNCATEGORIZED`
`user.authentication.slo`	`USER_UNCATEGORIZED`	`USER_LOGOUT`

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.