View a markdown version of this page

Configuración del origen para Okta SSO - Amazon CloudWatch
Integración con Okta SSOAutenticación con Okta SSOConfiguración de la canalización de CloudWatchClases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración del origen para Okta SSO

Integración con Okta SSO

La canalización de CloudWatch utiliza la API de registro del sistema de Okta para recuperar los eventos de autenticación, actividad de la API, resultado de detecciones y administración de entidades del inquilino de Okta SSO.

Autenticación con Okta SSO

Para leer los registros, la canalización debe autenticarse con el inquilino de Okta SSO. En el caso de Okta SSO, la autenticación se efectúa mediante el flujo de credenciales de cliente de OAuth 2.0 (aserción JWT) a través de una aplicación de servicios de API de Okta.

Generación del par de claves privadas o públicas para la autenticación

  • Inicie sesión en la consola de administración de Okta con una cuenta de administrador.

  • Vaya a Aplicaciones → Aplicaciones.

  • Seleccione una aplicación de servicios de API existente o cree una nueva.

  • En General → Client Credentials, suba una clave pública o genere una nueva. Este par de claves se utilizará para autenticar mediante una aserción JWT firmada.

  • Asegúrese de que la aplicación tenga asignados los ámbitos de OAuth obligatorios, específicamente okta.logs.read.

  • Admin Roles → Edit assignments → Role (seleccione Read-only Administrator)

  • Copie el ID de cliente de la aplicación.

  • Almacene el client_id y client_secret (clave privada) en AWS Secrets Manager: client_id y client_secret(private_key) (la clave privada RSA que se usó para firmar la aserción JWT).

  • Identifique la URL de la organización de Okta y configúrela en la canalización (por ejemplo: https://yourdomain.okta.com).

Una vez configurada, la canalización puede autenticar mediante el flujo de credenciales de cliente de OAuth 2.0 (aserción JWT) de Okta y comenzar a recuperar eventos de registro de auditoría de la API de registro del sistema de Okta.

Configuración de la canalización de CloudWatch

Para configurar la canalización a fin de leer registros, elija Okta SSO como origen de datos. Rellene la información obligatoria, como el nombre de dominio de Okta. Una vez que haya creado y activado la canalización, los datos de registros de auditoría de Okta SSO comenzarán a fluir al grupo de registro de Registros de CloudWatch seleccionado.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y los eventos de Okta que se asignan a la autenticación (3002), la actividad de la API (6003), el resultado de detecciones (2004) y la administración de entidades (3004).

La autenticación contiene los siguientes eventos:

  • user.authentication.auth

  • user.authentication.auth_via_AD_agent

  • user.authentication.auth_via_IDP

  • user.authentication.auth_via_LDAP_agent

  • user.authentication.auth_via_inbound_SAML

  • user.authentication.auth_via_inbound_delauth

  • user.authentication.auth_via_iwa

  • user.authentication.auth_via_mfa

  • user.authentication.auth_via_radius

  • user.authentication.auth_via_richclient

  • user.authentication.auth_via_social

  • user.authentication.authenticate

  • user.authentication.sso

  • user.session.start

  • user.session.impersonation.grant

  • app.oauth2.signon

  • user.session.impersonation.initiate

  • user.authentication.universal_logout

  • user.session.clear

  • user.session.end

  • user.authentication.slo

  • user.authentication.universal_logout.scheduled

  • user.session.expire

  • user.session.impersonation.end

  • user.authentication.verify

  • policy.evaluate_sign_on

  • user.mfa.attempt_bypass

  • user.mfa.okta_verify

  • user.mfa.okta_verify.deny_push

  • user.mfa.okta_verify.deny_push_upgrade_needed

  • user.mfa.factor.activate

  • user.mfa.factor.deactivate

  • user.mfa.factor.reset_all

  • user.mfa.factor.suspend

  • user.mfa.factor.unsuspend

  • user.mfa.factor.update

  • user.session.impersonation.extend

  • user.session.impersonation.revoke

  • user.session.access_admin_app

  • user.session.context.change

  • application.policy.sign_on.deny_access

  • user.authentication.auth_unconfigured_identifier

  • user.authentication.dsso_via_non_priority_source

  • app.oauth2.invalid_client_credentials

  • policy.auth_reevaluate.fail

Mostrar másMostrar menos

La actividad de la API contiene los siguientes eventos:

  • oauth2.claim.created

  • oauth2.scope.created

  • security.trusted_origin.create

  • system.api_token.create

  • workflows.user.table.view

  • app.oauth2.as.key.rollover

  • app.saml.sensitive.attribute.update

  • system.api_token.update

  • oauth2.claim.updated

  • oauth2.scope.updated

  • security.events.provider.deactivate

  • system.api_token.revoke

  • oauth2.claim.deleted

  • oauth2.scope.deleted

El resultado de detecciones contiene los siguientes eventos:

  • security.attack.start

  • security.breached_credential.detected

  • security.request.blocked

  • security.threat.detected

  • security.zone.make_blacklist

  • system.rate_limit.violation

  • user.account.report_suspicious_activity_by_enduser

  • user.risk.change

  • user.risk.detect

  • zone.make_blacklist

  • security.attack.end

La administración de entidades contiene los eventos siguientes:

  • iam.role.create

  • system.idp.lifecycle.create

  • application.lifecycle.create

  • group.lifecycle.create

  • user.lifecycle.create

  • policy.lifecycle.create

  • zone.create

  • oauth2.as.created

  • event_hook.created

  • inline_hook.created

  • pam.security_policy.create

  • iam.resourceset.create

  • pam.secret.create

  • analytics.reports.export.download

  • app.audit_report.download

  • system.idp.lifecycle.read_client_secret

  • app.oauth2.client.read_client_secret

  • pam.secret.reveal

  • pam.service_account.password.reveal

  • support.org.update

  • system.idp.lifecycle.update

  • application.lifecycle.update

  • policy.lifecycle.update

  • user.account.update_profile

  • user.account.update_password

  • user.account.reset_password

  • group.profile.update

  • zone.update

  • group.privilege.grant

  • group.privilege.revoke

  • iam.resourceset.bindings.add

  • user.account.privilege.grant

  • user.account.privilege.revoke

  • pki.cert.lifecycle.revoke

  • iam.resourceset.update

  • iam.role.update

  • pam.security_policy.update

  • oauth2.as.updated

  • event_hook.updated

  • inline_hook.updated

  • pam.secret.update

  • iam.resourceset.bindings.delete

  • iam.role.delete

  • pam.security_policy.delete

  • policy.lifecycle.delete

  • user.lifecycle.delete.initiated

  • application.lifecycle.delete

  • group.lifecycle.delete

  • zone.delete

  • oauth2.as.deleted

  • event_hook.deleted

  • inline_hook.deleted

  • iam.resourceset.delete

  • pam.secret.delete

  • device.enrollment.create

  • credential.register

  • credential.revoke

  • policy.lifecycle.activate

  • system.feature.enable

  • event_hook.activated

  • inline_hook.activated

  • system.feature.disable

  • application.lifecycle.activate

  • user.lifecycle.activate

  • zone.activate

  • oauth2.as.activated

  • system.log_stream.lifecycle.activate

  • policy.lifecycle.deactivate

  • security.authenticator.lifecycle.deactivate

  • application.lifecycle.deactivate

  • user.lifecycle.deactivate

  • zone.deactivate

  • event_hook.deactivated

  • inline_hook.deactivated

  • system.log_stream.lifecycle.deactivate

  • oauth2.as.deactivated

  • user.account.lock

  • user.account.lock.limit

  • user.lifecycle.suspend

  • device.lifecycle.suspend

  • user.account.unlock

  • user.lifecycle.unsuspend

  • device.lifecycle.unsuspend

  • user.lifecycle.reactivate

Mostrar másMostrar menos