Konfigurasi sumber untuk Okta SSO - Amazon CloudWatch
Integrasi dengan Okta SSOOtentikasi dengan Okta SSOMengkonfigurasi Pipeline CloudWatch Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi sumber untuk Okta SSO

Integrasi dengan Okta SSO

CloudWatch Pipeline menggunakan API Log Sistem Okta untuk mengambil peristiwa Otentikasi, Aktivitas API, Pencarian Deteksi, dan Manajemen Entitas dari penyewa Okta SSO Anda.

Otentikasi dengan Okta SSO

Untuk membaca log, pipeline perlu diautentikasi dengan penyewa Okta SSO Anda. Untuk Okta SSO, autentikasi dilakukan dengan menggunakan aliran OAuth 2.0 Client Credentials (JWT Assertion) melalui aplikasi Okta API Services.

Menghasilkan private/public key pair untuk otentikasi

  • Masuk ke Konsol Admin Okta menggunakan akun administrator.

  • Arahkan ke Aplikasi → Aplikasi.

  • Pilih Aplikasi Layanan API yang ada atau buat yang baru.

  • Di bawah General → Client Credentials, unggah kunci publik atau buat kunci baru. Key pair ini akan digunakan untuk mengautentikasi menggunakan pernyataan JWT yang ditandatangani.

  • Pastikan aplikasi memiliki OAuth cakupan yang diperlukan yang ditetapkan, khususnya: okta.logs.read

  • Peran Admin → Edit tugas → Peran (Pilih Administrator Hanya Baca)

  • Salin ID Klien aplikasi.

  • Simpan client_id dan client_secret (kunci pribadi) di AWS Secrets Manager: client_id dan client_secret(private_key) (kunci pribadi RSA yang digunakan untuk menandatangani pernyataan JWT)

  • Identifikasi URL Organisasi Okta Anda dan konfigurasikan dalam pipeline (misalnya:https://yourdomain.okta.com).

Setelah dikonfigurasi, pipeline dapat mengautentikasi menggunakan aliran Okta OAuth 2.0 Client Credentials (JWT Assertion) dan mulai mengambil peristiwa log audit dari Okta System Log API.

Mengkonfigurasi Pipeline CloudWatch

Untuk mengonfigurasi pipeline untuk membaca log, pilih Okta SSO sebagai sumber data. Isi informasi yang diperlukan seperti nama Domain Okta. Setelah Anda membuat dan mengaktifkan pipeline, data log audit dari Okta SSO akan mulai mengalir ke grup CloudWatch log Log yang dipilih.

Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa Okta yang dipetakan ke Authentication (3002), API Activity (6003), Detection Finding (2004), dan Entity Management (3004).

Otentikasi berisi peristiwa berikut:

  • user.authentication.auth

  • User.Authentication.AUTH_VIA_AD_AGENT

  • User.Authentication.AUTH_VIA_IDP

  • User.Authentication.AUTH_VIA_LDAP_Agent

  • User.authentication.auth_via_inbound_saml

  • user.authentication.auth_via_inbound_delauth

  • user.authentication.auth_via_iwa

  • user.authentication.auth_via_mfa

  • user.authentication.auth_via_radius

  • user.authentication.auth_via_richclient

  • user.authentication.auth_via_social

  • user.authentication.authenticate

  • user.authentication.sso

  • user.session.start

  • user.session.impersonation.grant

  • app.oauth2.signon

  • user.session.impersonation.initiate

  • user.authentication.universal_logout

  • user.session.clear

  • user.session.end

  • user.authentication.slo

  • user.authentication.universal_logout.scheduled

  • user.session.expire

  • user.session.impersonation.end

  • user.authentication.verify

  • policy.evaluate_sign_on

  • user.mfa.attempt_bypass

  • user.mfa.okta_verify

  • user.mfa.okta_verify.deny_push

  • user.mfa.okta_verify.deny_push_upgrade_needed

  • user.mfa.factor.activate

  • user.mfa.factor.deactivate

  • user.mfa.factor.reset_all

  • user.mfa.factor.suspend

  • user.mfa.factor.unsuspend

  • user.mfa.factor.update

  • user.session.impersonation.extend

  • user.session.impersonation.revoke

  • user.session.access_admin_app

  • user.session.context.change

  • application.policy.sign_on.deny_access

  • user.authentication.auth_unconfigured_identifier

  • user.authentication.dsso_via_non_priority_source

  • app.oauth2.invalid_client_credentials

  • policy.auth_reevaluate.fail

Tampilkan lebih banyakTampilkan lebih sedikit

Aktivitas API berisi peristiwa berikut:

  • oauth2.claim.created

  • oauth2.scope.created

  • security.trusted_origin.create

  • system.api_token.create

  • workflows.user.table.view

  • app.oauth2.as.key.rollover

  • app.saml.sensitive.attribute.update

  • system.api_token.update

  • oauth2.claim.diperbarui

  • oauth2.scope.updated

  • security.events.provider.deactivate

  • system.api_token.cabut

  • oauth2.claim.deleted

  • oauth2.scope.deleted

Deteksi Finding berisi peristiwa berikut:

  • security.attack.start

  • security.breached_credential.detected

  • security.request.blocked

  • security.threat.detected

  • security.zone.make_blacklist

  • system.rate_limit.violation

  • user.account.report_suspicious_activity_by_enduser

  • user.risk.change

  • user.risk.detect

  • zone.make_blacklist

  • security.attack.end

Manajemen Entitas berisi peristiwa-peristiwa berikut:

  • iam.role.create

  • system.idp.lifecycle.create

  • application.lifecycle.create

  • group.lifecycle.create

  • user.lifecycle.create

  • policy.lifecycle.create

  • zona.create

  • oauth2.as.created

  • event_hook.created

  • inline_hook.created

  • pam.security_policy.create

  • iam.resourceset.create

  • pam.secret.create

  • analytics.reports.export.download

  • app.audit_report.download

  • system.idp.lifecycle.read_client_secret

  • app.oauth2.client.read_client_secret

  • pam.secret.reveal

  • pam.service_account.password.reveal

  • support.org.update

  • system.idp.lifecycle.update

  • application.lifecycle.update

  • policy.lifecycle.update

  • user.account.update_profile

  • user.account.update_password

  • user.account.reset_password

  • group.profile.update

  • zona.update

  • group.privilege.grant

  • group.privilege.revoke

  • iam.resourceset.bindings.add

  • user.account.privilege.grant

  • user.account.privilege.revoke

  • pki.cert.lifecycle.revoke

  • iam.resourceset.update

  • iam.role.update

  • pam.security_policy.update

  • oauth2.as.diperbarui

  • event_hook.update

  • inline_hook.update

  • pam.secret.update

  • iam.resourceset.bindings.delete

  • iam.role.delete

  • pam.security_policy.delete

  • policy.lifecycle.delete

  • user.lifecycle.delete.initiated

  • application.lifecycle.delete

  • group.lifecycle.delete

  • zona.delete

  • oauth2.as.deleted

  • event_hook.deleted

  • inline_hook.deleted

  • iam.resourceset.delete

  • pam.secret.delete

  • device.enrollment.create

  • kredensial.register

  • credential.revoke

  • policy.lifecycle.activate

  • system.feature.enable

  • event_hook.activated

  • inline_hook.activated

  • system.feature.disable

  • application.lifecycle.activate

  • user.lifecycle.activate

  • zona.aktifkan

  • oauth2.as.activated

  • system.log_stream.lifecycle.activate

  • policy.lifecycle.deactivate

  • security.authenticator.lifecycle.deactivate

  • application.lifecycle.deactivate

  • user.lifecycle.deactivate

  • zone.deactivate

  • event_hook.dinonaktifkan

  • inline_hook.dinonaktifkan

  • system.log_stream.lifecycle.deactivate

  • oauth2.as.dinonaktifkan

  • user.account.lock

  • user.account.lock.limit

  • user.lifecycle.suspend

  • device.lifecycle.suspend

  • user.account.unlock

  • user.lifecycle.unsuspend

  • device.lifecycle.unsuspend

  • user.lifecycle.reactivate

Tampilkan lebih banyakTampilkan lebih sedikit