本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Okta SSO 的來源組態
與 Okta SSO 整合
CloudWatch Pipeline 使用 Okta 系統日誌 API 從您的 Okta SSO 租用戶擷取身分驗證、API 活動、偵測問題清單和實體管理事件。
使用 Okta SSO 驗證
若要讀取日誌,管道需要向您的 Okta SSO 租用戶進行身分驗證。對於 Okta SSO,身分驗證是使用 OAuth 2.0 用戶端登入資料 (JWT 聲明) 流程透過 Okta API Services 應用程式執行。
產生私有/公有金鑰對以進行身分驗證
使用管理員帳戶登入 Okta 管理員主控台。
導覽至應用程式 → 應用程式。
選取現有的 API Services 應用程式或建立新的應用程式。
在一般 → 用戶端登入資料下,上傳公有金鑰或產生新金鑰。此金鑰對將用於使用已簽署的 JWT 聲明進行身分驗證。
確保應用程式已指派必要的 OAuth 範圍,特別是:
okta.logs.read管理員角色 → 編輯指派 → 角色 (選取唯讀管理員)
複製應用程式的用戶端 ID。
將 client_id 和 client_secret(私有金鑰) 存放在 AWS Secrets Manager:
client_id和client_secret(private_key)(用於簽署 JWT 聲明的 RSA 私有金鑰)識別您的 Okta Organization URL 並在管道中設定 (例如:
https://yourdomain.okta.com)。
設定完成後,管道可以使用 Okta 的 OAuth 2.0 用戶端登入資料 (JWT 聲明) 流程進行驗證,並開始從 Okta 系統日誌 API 擷取稽核日誌事件。
設定 CloudWatch 管道
若要設定管道讀取日誌,請選擇 Okta SSO 做為資料來源。填寫必要資訊,例如 Okta 網域名稱。建立並啟用管道後,Okta SSO 的稽核日誌資料將開始流入選取的 CloudWatch Logs 日誌群組。
支援的開放式網路安全結構描述架構事件類別
此整合支援映射至身分驗證 (3002)、API 活動 (6003)、偵測調查結果 (2004) 和實體管理 (3004) 的 OCSF 結構描述版本 v1.5.0 和 Okta 事件。
身分驗證包含下列事件:
user.authentication.auth
user.authentication.auth_via_AD_agent
user.authentication.auth_via_IDP
user.authentication.auth_via_LDAP_agent
user.authentication.auth_via_inbound_SAML
user.authentication.auth_via_inbound_delauth
user.authentication.auth_via_iwa
user.authentication.auth_via_mfa
user.authentication.auth_via_radius
user.authentication.auth_via_richclient
user.authentication.auth_via_social
user.authentication.authenticate
user.authentication.sso
user.session.start
user.session.impersonation.grant
app.oauth2.signon
user.session.impersonation.initiate
user.authentication.universal_logout
user.session.clear
user.session.end
user.authentication.slo
user.authentication.universal_logout.scheduled
user.session.expire
user.session.impersonation.end
user.authentication.verify
policy.evaluate_sign_on
user.mfa.attempt_bypass
user.mfa.okta_verify
user.mfa.okta_verify.deny_push
user.mfa.okta_verify.deny_push_upgrade_needed
user.mfa.factor.activate
user.mfa.factor.deactivate
user.mfa.factor.reset_all
user.mfa.factor.suspend
user.mfa.factor.unsuspend
user.mfa.factor.update
user.session.impersonation.extend
user.session.impersonation.revoke
user.session.access_admin_app
user.session.context.change
application.policy.sign_on.deny_access
user.authentication.auth_un configured_identifier
user.authentication.dsso_via_non_priority_source
app.oauth2.invalid_client_credentials
policy.auth_reevaluate.fail
API 活動包含下列事件:
oauth2.claim.created
oauth2.scope.created
security.trusted_origin.create
system.api_token.create
workflows.user.table.view
app.oauth2.as.key.rollover
app.saml.sensitive.attribute.update
system.api_token.update
oauth2.claim.updated
oauth2.scope.updated
security.events.provider.deactivate
system.api_token.revoke
oauth2.claim.deleted
oauth2.scope.deleted
Detection Finding 包含下列事件:
security.attack.start
security.breached_credential.detected
security.request.blocked
security.threat.detected
security.zone.make_blacklist
system.rate_limit.violation
user.account.report_suspicious_activity_by_enduser
user.risk.change
user.risk.detect
zone.make_blacklist
security.attack.end
實體管理包含下列事件:
iam.role.create
system.idp.lifecycle.create
application.lifecycle.create
group.lifecycle.create
user.lifecycle.create
policy.lifecycle.create
zone.create
oauth2.as.created
event_hook.created
inline_hook.created
pam.security_policy.create
iam.resourceset.create
pam.secret.create
analytics.reports.export.download
app.audit_report.download
system.idp.lifecycle.read_client_secret
app.oauth2.client.read_client_secret
pam.secret.reveal
pam.service_account.password.reveal
support.org.update
system.idp.lifecycle.update
application.lifecycle.update
policy.lifecycle.update
user.account.update_profile
user.account.update_password
user.account.reset_password
group.profile.update
zone.update
group.privilege.grant
group.privilege.revoke
iam.resourceset.bindings.add
user.account.privilege.grant
user.account.privilege.revoke
pki.cert.lifecycle.revoke
iam.resourceset.update
iam.role.update
pam.security_policy.update
oauth2.as.updated
event_hook.updated
inline_hook.updated
pam.secret.update
iam.resourceset.bindings.delete
iam.role.delete
pam.security_policy.delete
policy.lifecycle.delete
user.lifecycle.delete.initiated
application.lifecycle.delete
group.lifecycle.delete
zone.delete
oauth2.as.deleted
event_hook.deleted
inline_hook.deleted
iam.resourceset.delete
pam.secret.delete
device.enrollment.create
credentials.register
credentials.revoke
policy.lifecycle.activate
system.feature.enable
event_hook.activated
inline_hook.activated
system.feature.disable
application.lifecycle.activate
user.lifecycle.activate
zone.activate
oauth2.as.activated
system.log_stream.lifecycle.activate
policy.lifecycle.deactivate
security.authenticator.lifecycle.deactivate
application.lifecycle.deactivate
user.lifecycle.deactivate
zone.deactivate
event_hook.deactivated
inline_hook.deactivated
system.log_stream.lifecycle.deactivate
oauth2.as.deactivated
user.account.lock
user.account.lock.limit
user.lifecycle.suspend
device.lifecycle.suspend
user.account.unlock
user.lifecycle.unsuspend
device.lifecycle.unsuspend
user.lifecycle.reactivate
