Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Quellkonfiguration für Okta SSO
Integration mit Okta SSO
CloudWatch Pipeline verwendet die Okta System Log API, um Authentifizierungs-, API-Aktivitäts-, Erkennungs- und Entitätsmanagement-Ereignisse von Ihrem Okta SSO-Mandanten abzurufen.
Authentifizierung mit Okta SSO
Um die Protokolle lesen zu können, muss sich die Pipeline bei Ihrem Okta SSO-Mandanten authentifizieren. Bei Okta SSO erfolgt die Authentifizierung mithilfe des OAuth 2.0 Client Credentials (JWT Assertion) -Flows über eine Okta API Services-Anwendung.
Generieren Sie das private/public key pair für die Authentifizierung
Melden Sie sich mit einem Administratorkonto bei der Okta Admin Console an.
Navigieren Sie zu Anwendungen → Anwendungen.
Wählen Sie eine bestehende API Services-Anwendung aus oder erstellen Sie eine neue.
Laden Sie unter Allgemein → Kundenanmeldedaten einen öffentlichen Schlüssel hoch oder generieren Sie einen neuen Schlüssel. Dieses key pair wird zur Authentifizierung mit einer signierten JWT-Assertion verwendet.
Stellen Sie sicher, dass der Anwendung die erforderlichen OAuth Bereiche zugewiesen wurden, insbesondere:
okta.logs.readAdministratorrollen → Zuweisungen bearbeiten → Rolle (wählen Sie Administrator mit Schreibschutz aus)
Kopieren Sie die Client-ID der Anwendung.
Speichern Sie die client_id und client_secret (den privaten Schlüssel) in AWS Secrets Manager:
client_idundclient_secret(private_key)(dem privaten RSA-Schlüssel, der zum Signieren der JWT-Assertion verwendet wurde)Identifizieren Sie Ihre Okta-Organisations-URL und konfigurieren Sie sie in der Pipeline (z. B.:).
https://yourdomain.okta.com
Nach der Konfiguration kann sich die Pipeline mithilfe des Flow OAuth 2.0 Client Credentials (JWT Assertion) von Okta authentifizieren und mit dem Abrufen von Auditprotokollereignissen von der Okta System Log API beginnen.
Konfiguration CloudWatch der Pipeline
Um die Pipeline für das Lesen von Protokollen zu konfigurieren, wählen Sie Okta SSO als Datenquelle. Geben Sie die erforderlichen Informationen wie den Okta-Domänennamen ein. Sobald Sie die Pipeline erstellt und aktiviert haben, beginnen die Audit-Log-Daten von Okta SSO in die ausgewählte CloudWatch Log-Protokollgruppe zu fließen.
Unterstützte Open Cybersecurity Schema Framework-Eventklassen
Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und Okta-Ereignisse, die Authentication (3002), API-Aktivität (6003), Detection Finding (2004) und Entity Management (3004) zugeordnet sind.
Die Authentifizierung umfasst die folgenden Ereignisse:
user.authentication.auth
user.authentication.auth_via_AD_Agent
Benutzer.Authentifizierung.Auth_via_IDP
Benutzer.Authentifizierung.Auth_via_LDAP_Agent
Benutzer.Authentifizierung.Auth_VIA_Inbound_SAML
user.authentication.auth_via_inbound_delauth
user.authentication.auth_via_iwa
user.authentication.auth_via_mfa
user.authentication.auth_via_radius
user.authentication.auth_via_richclient
user.authentication.auth_via_social
user.authentication.authenticate
user.authentication.sso
user.session.start
user.session.impersonation.grant
app.oauth2.signon
user.session.impersonation.initiieren
user.authentication.universal_logout
user.session.clear
user.session.end
user.authentication.slo
user.authentication.universal_logout.scheduled
user.session.expire
user.session.impersonation.end
benutzer.authentifizierung.verifizieren
policy.evaluate_sign_on
user.mfa.attempt_bypass
user.mfa.okta_verify
user.mfa.okta_verify.deny_push
user.mfa.okta_verify.deny_push_upgrade_needed
user.mfa.factor.activate
user.mfa.factor.disable
user.mfa.factor.reset_all
user.mfa.factor.suspend
user.mfa.factor.unsuspend
user.mfa.factor.update
user.session.impersonation.extend
user.session.impersonation.revoke
user.session.access_admin_app
user.session.context.change
application.policy.sign_on.deny_access
user.authentication.auth_unconfigured_identifier
user.authentication.dsso_via_non_priority_source
app.oauth2.invalid_client_credentials
policy.auth_reevaluate.fail
Die API-Aktivität umfasst die folgenden Ereignisse:
oauth2.claim.created
oauth2.scope.erstellt
security.trusted_origin.create
system.api_token.create
workflows.user.table.view
app.oauth2.as.key.rollover
app.saml.sensitive.attribute.update
system.api_token.aktualisieren
oauth2.claim.aktualisiert
oauth2.scope. aktualisiert
security.events.provider.disable
system.api_token.revoke
oauth2.claim.gelöscht
oauth2.scope.gelöscht
Detection Finding umfasst die folgenden Ereignisse:
security.attack.start
security.breached_credial.detected
security.request.blockiert
security.threat.detected
security.zone.make_blacklist
system.rate_limit.violation
user.account.report_suspicious_activity_by_enduser
user.risk.change
user.risk.detect
zone.make_blacklist
security.attack.end
Entity Management enthält die folgenden Ereignisse:
iam.role.create
system.idp.lifecycle cycle.create
Anwendung.Lebenszyklus.Erstellen
gruppe.lebenszyklus.erstellen
benutzer.lifecycle.create
policy.lifecycle.create
zone.erstellen
oauth2.as.erstellt
event_hook.erstellt
inline_hook.erstellt
pam.security_policy.create
iam.resourceset.create
pam.secret.create
analytics.reports.export.herunterladen
app.audit_report.herunterladen
system.idp.lifecycle cycle.read_client_secret
app.oauth2.client.read_client_secret
pam.secret.reveal
pam.service_account.password.reveal
support.org.update
system.idp.lifecycle cycle.update
Anwendung.Lebenszyklus.Update
richtlinie.lebenszyklus.aktualisieren
user.account.update_profile
user.account.update_password
user.account.passwort zurücksetzen
group.profile.update
zone.aktualisieren
group.privileg.grant
group.privilege.revoke
iam.resourceset.bindings.add
user.account.privilege.grant
user.account.privilege.revoke
pki.cert.lifelycle.revoke
iam.resourceset.update
iam.role.update
pam.security_policy.aktualisieren
oauth2.as. aktualisiert
event_hook.aktualisiert
inline_hook.aktualisiert
pam.secret.aktualisieren
iam.resourceset.bindings.delete
iam.role.delete
pam.security_policy.delete
policy.lifecycle. löschen
user.lifelycle.delete.initiiert
Anwendung.Lebenszyklus.Löschen
group.lifecycle.delete
zone.löschen
oauth2.as.gelöscht
event_hook.gelöscht
inline_hook.gelöscht
iam.resourceset.delete
pam.secret.delete
device.enrollment.create
Anmeldeinformation.register
Anmeldeinformation.widerrufen
policy.lifecycle.activate
system.feature.enable
event_hook.aktiviert
inline_hook.aktiviert
system.feature.deaktivieren
Anwendung.Lebenszyklus.aktivieren
user.lifecycle.activate
zone.activate
oauth2.as.aktiviert
system.log_stream.lifecycle cycle.activate
policy.lifecycle.deactivate
security.authenticator.lifecycle.deactivate
Anwendung.Lebenszyklus.deaktivieren
user.lifecycle.deactivate
zone.deaktivieren
event_hook.deaktiviert
inline_hook.deaktiviert
system.log_stream.lifecycle cycle.deactivate
oauth2.as.deaktiviert
user.account.lock
user.account.lock.limit
user.lifecycle.suspendieren
Gerät.Lebenszyklus.Aussetzen
benutzer.konto.entsperren
user.lifelycle.unsuspend
Gerät.Lebenszyklus.Aussetzen
user.lifecycle. reaktivieren
