Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de la source pour Okta SSO
Intégration avec Okta SSO
CloudWatch Pipeline utilise l'API Okta System Log pour récupérer les événements d'authentification, d'activité de l'API, de détection et de gestion des entités auprès de votre client Okta SSO.
Authentification avec Okta SSO
Pour lire les journaux, le pipeline doit s'authentifier auprès de votre locataire Okta SSO. Pour Okta SSO, l'authentification est effectuée à l'aide du flux d'informations d'identification client OAuth 2.0 (JWT Assertion) via une application Okta API Services.
Générez la paire de private/public clés pour l'authentification
Connectez-vous à l'Okta Admin Console à l'aide d'un compte administrateur.
Accédez à Applications → Applications.
Sélectionnez une application de services API existante ou créez-en une nouvelle.
Sous Général → Informations d'identification du client, téléchargez une clé publique ou générez une nouvelle clé. Cette paire de clés sera utilisée pour s'authentifier à l'aide d'une assertion JWT signée.
Assurez-vous que les champs d'application requis sont OAuth assignés à l'application, en particulier :
okta.logs.readRôles d'administrateur → Modifier les attributions → Rôle (sélectionnez Administrateur en lecture seule)
Copiez l'ID client de l'application.
Stockez le client_id et le client_secret (clé privée) dans AWS Secrets Manager :
client_idetclient_secret(private_key)(la clé privée RSA utilisée pour signer l'assertion JWT)Identifiez l'URL de votre organisation Okta et configurez-la dans le pipeline (par exemple :
https://yourdomain.okta.com).
Une fois configuré, le pipeline peut s'authentifier à l'aide du flux d'informations d'identification client OAuth 2.0 (JWT Assertion) d'Okta et commencer à récupérer les événements du journal d'audit depuis l'API Okta System Log.
Configuration du CloudWatch pipeline
Pour configurer le pipeline afin de lire les journaux, choisissez Okta SSO comme source de données. Renseignez les informations requises, telles que le nom de domaine Okta. Une fois que vous avez créé et activé le pipeline, les données du journal d'audit d'Okta SSO commencent à circuler dans le groupe de journaux de CloudWatch journaux sélectionné.
Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements Okta qui correspondent à l'authentification (3002), à l'activité des API (6003), à la recherche de détection (2004) et à la gestion des entités (3004).
L'authentification contient les événements suivants :
utilisateur.authentication.auth
Utilisateur.Authentication.Auth_Via_AD_Agent
Utilisateur.Authentication.Auth_Via_IDP
Utilisateur.Authentication.Auth_Via_LDAP_Agent
Utilisateur.Authentication.Auth_Via_Inbound_SAML
user.authentication.auth_via_inbound_delauth
utilisateur.authentication.auth_via_iwa
utilisateur.authentication.auth_via_mfa
utilisateur.authentication.auth_via_radius
user.authentication.auth_via_richclient
utilisateur.authentication.auth_via_social
utilisateur.authentification.authentifier
utilisateur.authentication.sso
utilisateur.session.start
user.session.impersonation.grant
app.oauth2.signon
utilisateur.session.impersonation.initiate
utilisateur.authentication.universal_logout
utilisateur.session.clear
utilisateur.session.end
user.authentication.slo
user.authentication.universal_logout.scheduled
utilisateur.session.expire
utilisateur.session.impersonation.end
user.authentication.verify
policy.evaluate_sign_on
utilisateur.mfa.attempt _bypass
utilisateur.mfa.okta_verify
utilisateur.mfa.okta_verify.deny_push
utilisateur.mfa.okta_verify.deny_push_upgrade_needed
utilisateur.mfa.factor.activate
user.mfa.factor.deactivate
utilisateur.mfa.factor.reset_all
utilisateur.mfa.factor.suspend
utilisateur.mfa.factor.unsuspend
utilisateur.mfa.factor.update
utilisateur.session.impersonation.extend
utilisateur.session.impersonation.revoke
utilisateur.session.access_admin_app
utilisateur.session.context.change
application.policy.sign_on.deny_access
user.authentication.auth_unconfigured_identifier
utilisateur.authentication.dsso_via_non_priority_source
app.oauth2.invalid_client_credentials
policy.auth_reevaluate.fail
L'activité de l'API contient les événements suivants :
oauth2.claim.created
oauth2.scope.created
security.trusted_origin.create
system.api_token.create
workflows.user.table.view
app.oauth2.as.key.rollover
app.saml.sensitive.attribute.update
system.api_token.update
oauth2.claim.mis à jour
oauth2.scope.updated
security.events.provider.deactivate
system.api_token.revoke
oauth2.claim.supprimé
oauth2.scope.supprimé
Le résultat de détection contient les événements suivants :
security.attack.start
security.breached_credential.detected
sécurité.request.blocked
sécurité.menace.détectée
security.zone.make_blacklist
system.rate_limit.violation
user.account.report_suspicious_activity_by_enduser
utilisateur.risk.change
user.risk.detect
zone.make_blacklist
security.attack.end
La gestion des entités contient les événements suivants :
iam.role.create
system.idp.lifecycle.create
application.cycle de vie.create
group.cycle de vie.create
user.lifecycle.create
policy.lifecycle.create
zone.create
oauth2.as.created
event_hook.created
inline_hook.created
pam.security_policy.create
iam.resourceset.create
pam.secret.create
analytics.reports.export.download
app.audit_report.download
system.idp.lifecycle.read_client_secret
app.oauth2.client.read_client_secret
pam.secret.reveal
pam.service_account.password.reveal
support.org.update
system.idp.lifecycle.update
cycle de vie de l'application. mise à jour
policy.lifecycle.update
user.account.update_profile
utilisateur.account.update_password
user.account.reset_password
group.profile.update
mise à jour de zone
group.privilege.grant
group.privilege.revoke
iam.resourceset.bindings.add
utilisateur.account.privilege.grant
utilisateur.compte.privilege.revoke
pki.cert.lifecycle.revoke
iam.resourceset.update
iam.role.update
pam.security_policy.update
oauth2.as.mis à jour
event_hook.updated
inline_hook.updated
pam.secret.update
iam.resourceset.bindings.delete
iam.role.delete
pam.security_policy.delete
policy.lifecycle.delete
user.lifecycle.delete.initiated
cycle de vie.delete de l'application
group.cycle de vie.delete
zone.delete
oauth2.as. supprimé
event_hook.supprimé
inline_hook.supprimé
iam.resourceset.delete
pam.secret.delete
appareil.rollment.create
credential.register
accrédit.révoquer
policy.lifecycle.activate
system.feature.enable
event_hook.activated
inline_hook.activated
system.feature.disable
application.cycle de vie.activate
user.lifecycle.activate
zone.activate
oauth2.as.activated
system.log_stream.lifecycle.activate
policy.lifecycle.deactivate
security.authenticator.lifecycle.deactivate
cycle de vie de l'application. désactiver
user.lifecycle.deactivate
zone.deactivate
event_hook.désactivé
inline_hook.désactivé
system.log_stream.lifecycle.deactivate
oauth2.as.désactivé
user.account.lock
user.account.lock.limit
user.lifecycle.suspend
device.lifecycle.suspend
utilisateur.account.unlock
user.lifecycle.unsuspend
device.lifecycle.unsuspend
user.lifecycle.reactivate
