Configurazione del codice sorgente per Okta SSO - Amazon CloudWatch
Integrazione con Okta SSOAutenticazione con Okta SSO CloudWatch Configurazione della pipelineClassi di eventi Open Cybersecurity Schema Framework supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del codice sorgente per Okta SSO

Integrazione con Okta SSO

CloudWatch Pipeline utilizza l'API Okta System Log per recuperare gli eventi di autenticazione, attività API, rilevamento e gestione delle entità dal tenant SSO di Okta.

Autenticazione con Okta SSO

Per leggere i log, la pipeline deve autenticarsi con il tenant SSO di Okta. Per Okta SSO, l'autenticazione viene eseguita utilizzando il flusso OAuth 2.0 Client Credentials (JWT Assertion) tramite un'applicazione Okta API Services.

Genera la private/public key pair per l'autenticazione

  • Accedi alla Okta Admin Console utilizzando un account amministratore.

  • Vai su Applicazioni → Applicazioni.

  • Seleziona un'applicazione di servizi API esistente o creane una nuova.

  • In Generale → Credenziali del cliente, carica una chiave pubblica o genera una nuova chiave. Questa coppia di chiavi verrà utilizzata per l'autenticazione utilizzando un'asserzione JWT firmata.

  • Assicurati che all'applicazione siano assegnati gli OAuth ambiti richiesti, in particolare: okta.logs.read

  • Ruoli di amministratore → Modifica assegnazioni → Ruolo (seleziona Amministratore di sola lettura)

  • Copia l'ID client dell'applicazione.

  • Memorizza client_id e client_secret (chiave privata) in Gestione dei segreti AWS: client_id and client_secret(private_key) (la chiave privata RSA utilizzata per firmare l'asserzione JWT)

  • Identifica l'URL della tua organizzazione Okta e configuralo nella pipeline (ad esempio:). https://yourdomain.okta.com

Una volta configurata, la pipeline può autenticarsi utilizzando il flusso OAuth 2.0 Client Credentials (JWT Assertion) di Okta e iniziare a recuperare gli eventi del registro di controllo dall'API Okta System Log.

CloudWatch Configurazione della pipeline

Per configurare la pipeline per leggere i log, scegli Okta SSO come origine dati. Inserisci le informazioni richieste come il nome di dominio Okta. Dopo aver creato e attivato la pipeline, i dati del registro di controllo di Okta SSO inizieranno a fluire nel gruppo di log Logs selezionato. CloudWatch

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi Okta associati a Authentication (3002), API Activity (6003), Detection Finding (2004) ed Entity Management (3004).

L'autenticazione contiene i seguenti eventi:

  • user.authentication.auth

  • user.authentication.auth_via_ad_agent

  • User.Authentication.AUTH_VIA_IDP

  • user.authentication.auth_via_LDAP_Agent

  • User.Authentication.AUTH_VIA_INBOUND_SAML

  • user.authentication.auth_via_inbound_delauth

  • user.authentication.auth_via_iwa

  • user.authentication.auth_via_mfa

  • user.authentication.auth_via_radius

  • user.authentication.auth_via_richclient

  • user.authentication.auth_via_social

  • user.authentication.authenticate

  • user.authentication.sso

  • user.session.start

  • user.session.impersonation.grant

  • app.oauth2.sign on

  • user.session.impersonation.initiate

  • user.authentication.universal_logout

  • user.session.clear

  • user.session.end

  • user.authentication.slo

  • user.authentication.universal_logout.schedulato

  • user.session.expire

  • user.session.impersonation.end

  • user.authentication.verify

  • policy.evaluate_sign_on

  • user.mfa.attempt_bypass

  • user.mfa.okta_verify

  • user.mfa.okta_verify.deny_push

  • user.mfa.okta_verify.deny_push_upgrade_needed

  • user.mfa.factor.activate

  • user.mfa.factor.deactivate

  • user.mfa.factor.reset_all

  • user.mfa.factor.suspend

  • user.mfa.factor.unsuspend

  • user.mfa.factor.update

  • user.session.impersonation.extend

  • user.session.impersonation.revoke

  • user.session.access_admin_app

  • user.session.context.change

  • application.policy.sign_on.deny_access

  • user.authentication.auth_unconfigured_identifier

  • user.authentication.dsso_via_non_priority_source

  • app.oauth2.invalid_client_credentials

  • policy.auth_reevaluate.fail

Mostra piùMostra meno

L'attività dell'API contiene i seguenti eventi:

  • oauth2.claim.created

  • oauth2.scope.creato

  • security.trusted_origin.create

  • system.api_token.create

  • workflows.user.table.view

  • app.oauth2.as.key.rollover

  • app.saml.sensitive.attribute.update

  • system.api_token.update

  • oauth2.claim.updated

  • oauth2.scope.aggiornato

  • security.events.provider.deactivate

  • system.api_token.revoke

  • oauth2.claim.deleted

  • oauth2.scope.deleted

Detection Finding contiene i seguenti eventi:

  • security.attack.start

  • security.breached_credential.detected

  • security.request.locked

  • sicurezza.threat.detected

  • security.zone.make_blacklist

  • system.rate_limit.violation

  • user.account.report_suspicious_activity_by_enduser

  • user.risk.change

  • user.risk.detect

  • zone.make_blacklist

  • security.attack.end

Entity Management contiene i seguenti eventi:

  • iam.role.create

  • system.idp.lifecycle.create

  • application.lifecycle.create

  • group.lifecycle.create

  • user.lifecycle.create

  • policy.lifecycle.create

  • zona. creare

  • oauth2.as.created

  • event_hook.creato

  • inline_hook.creato

  • pam.security_policy.create

  • iam.resourceset.create

  • pam.secret.create

  • analytics.reports.export.scarica

  • app.audit_report.scarica

  • system.idp.lifecycle.read_client_secret

  • app.oauth2.client.read_client_secret

  • pam.secret.reveal

  • pam.service_account.password.reveal

  • support.org.update

  • system.idp.lifecycle.update

  • applicazione.lifecycle.update

  • policy.lifecycle.update

  • user.account.update_profile

  • user.account.update_password

  • user.account.reset_password

  • group.profile.update

  • zone.update

  • group.privilege.grant

  • group.privilege.revoke

  • iam.resourceset.bindings.add

  • user.account.privilege.grant

  • user.account.privilege.revoke

  • pki.cert.lifecycle.revoke

  • iam.resourceset.update

  • iam.role.update

  • pam.security_policy.update

  • oauth2.as.updated

  • event_hook.aggiornato

  • inline_hook.aggiornato

  • pam.secret.update

  • iam.resourceset.bindings.delete

  • iam.role.delete

  • pam.security_policy.delete

  • policy.lifecycle.delete

  • user.lifecycle.delete.initiated

  • application.lifecycle.delete

  • group.lifecycle.delete

  • zona.elimina

  • oauth2.as.delete

  • event_hook.eliminato

  • inline_hook.deleted

  • iam.resourceset.delete

  • pam.secret.delete

  • device.enrollment.create

  • credenziale.register

  • credenzial.revoke

  • policy.lifecycle.activate

  • system.feature.enable

  • event_hook.activated

  • inline_hook.activated

  • system.feature.disable

  • applicazione.lifecycle.activate

  • user.lifecycle.activate

  • zone.activate

  • oauth2.as.attivato

  • system.log_stream.lifecycle.activate

  • policy.lifecycle.deactivate

  • security.authenticator.lifecycle.deactivate

  • application.lifecycle.deactivate

  • user.lifecycle.deactivate

  • zone.deactivate

  • event_hook.disattivato

  • inline_hook.disattivato

  • system.log_stream.lifecycle.deactivate

  • oauth2.as.deactivated

  • user.account.lock

  • user.account.lock.limit

  • user.lifecycle.suspend

  • device.lifecycle.suspend

  • user.account.unlock

  • user.lifecycle.unsuspend

  • device.lifecycle.unsuspend

  • user.lifecycle.reactivate

Mostra piùMostra meno