Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration de la source pour Okta SSO
<a name="okta-sso-source-setup"></a>

## Intégration avec Okta SSO
<a name="okta-sso-integration"></a>

CloudWatch Pipeline utilise l'API Okta System Log pour récupérer les événements d'authentification, d'activité de l'API, de détection et de gestion des entités auprès de votre client Okta SSO.

## Authentification avec Okta SSO
<a name="okta-sso-authentication"></a>

Pour lire les journaux, le pipeline doit s'authentifier auprès de votre locataire Okta SSO. Pour Okta SSO, l'authentification est effectuée à l'aide du flux d'informations d'identification client OAuth 2.0 (JWT Assertion) via une application Okta API Services.

**Générez la paire de private/public clés pour l'authentification**
+ Connectez-vous à l'Okta Admin Console à l'aide d'un compte administrateur.
+ Accédez à Applications → Applications.
+ Sélectionnez une application de services API existante ou créez-en une nouvelle.
+ Sous Général → Informations d'identification du client, téléchargez une clé publique ou générez une nouvelle clé. Cette paire de clés sera utilisée pour s'authentifier à l'aide d'une assertion JWT signée.
+ Assurez-vous que les champs d'application requis sont OAuth assignés à l'application, en particulier : `okta.logs.read`
+ Rôles d'administrateur → Modifier les attributions → Rôle (sélectionnez Administrateur en lecture seule)
+ Copiez l'ID client de l'application.
+ Stockez le client\_id et le client\_secret (clé privée) dans AWS Secrets Manager : `client_id` et `client_secret(private_key)` (la clé privée RSA utilisée pour signer l'assertion JWT)
+ Identifiez l'URL de votre organisation Okta et configurez-la dans le pipeline (par exemple :`https://yourdomain.okta.com`).

Une fois configuré, le pipeline peut s'authentifier à l'aide du flux d'informations d'identification client OAuth 2.0 (JWT Assertion) d'Okta et commencer à récupérer les événements du journal d'audit depuis l'API Okta System Log.

## Configuration du CloudWatch pipeline
<a name="okta-sso-pipeline-config"></a>

Pour configurer le pipeline afin de lire les journaux, choisissez Okta SSO comme source de données. Renseignez les informations requises, telles que le nom de domaine Okta. Une fois que vous avez créé et activé le pipeline, les données du journal d'audit d'Okta SSO commencent à circuler dans le groupe de journaux de CloudWatch journaux sélectionné.

## Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
<a name="okta-sso-ocsf-events"></a>

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements Okta qui correspondent à l'authentification (3002), à l'activité des API (6003), à la recherche de détection (2004) et à la gestion des entités (3004).

**L'authentification** contient les événements suivants :
+ utilisateur.authentication.auth
+ Utilisateur.Authentication.Auth\_Via\_AD\_Agent
+ Utilisateur.Authentication.Auth\_Via\_IDP
+ Utilisateur.Authentication.Auth\_Via\_LDAP\_Agent
+ Utilisateur.Authentication.Auth\_Via\_Inbound\_SAML
+ user.authentication.auth\_via\_inbound\_delauth
+ utilisateur.authentication.auth\_via\_iwa
+ utilisateur.authentication.auth\_via\_mfa
+ utilisateur.authentication.auth\_via\_radius
+ user.authentication.auth\_via\_richclient
+ utilisateur.authentication.auth\_via\_social
+ utilisateur.authentification.authentifier
+ utilisateur.authentication.sso
+ utilisateur.session.start
+ user.session.impersonation.grant
+ app.oauth2.signon
+ utilisateur.session.impersonation.initiate
+ utilisateur.authentication.universal\_logout
+ utilisateur.session.clear
+ utilisateur.session.end
+ user.authentication.slo
+ user.authentication.universal\_logout.scheduled
+ utilisateur.session.expire
+ utilisateur.session.impersonation.end
+ user.authentication.verify
+ policy.evaluate\_sign\_on
+ utilisateur.mfa.attempt \_bypass
+ utilisateur.mfa.okta\_verify
+ utilisateur.mfa.okta\_verify.deny\_push
+ utilisateur.mfa.okta\_verify.deny\_push\_upgrade\_needed
+ utilisateur.mfa.factor.activate
+ user.mfa.factor.deactivate
+ utilisateur.mfa.factor.reset\_all
+ utilisateur.mfa.factor.suspend
+ utilisateur.mfa.factor.unsuspend
+ utilisateur.mfa.factor.update
+ utilisateur.session.impersonation.extend
+ utilisateur.session.impersonation.revoke
+ utilisateur.session.access\_admin\_app
+ utilisateur.session.context.change
+ application.policy.sign\_on.deny\_access
+ user.authentication.auth\_unconfigured\_identifier
+ utilisateur.authentication.dsso\_via\_non\_priority\_source
+ app.oauth2.invalid\_client\_credentials
+ policy.auth\_reevaluate.fail

**L'activité de l'API** contient les événements suivants :
+ oauth2.claim.created
+ oauth2.scope.created
+ security.trusted\_origin.create
+ system.api\_token.create
+ workflows.user.table.view
+ app.oauth2.as.key.rollover
+ app.saml.sensitive.attribute.update
+ system.api\_token.update
+ oauth2.claim.mis à jour
+ oauth2.scope.updated
+ security.events.provider.deactivate
+ system.api\_token.revoke
+ oauth2.claim.supprimé
+ oauth2.scope.supprimé

Le **résultat de détection** contient les événements suivants :
+ security.attack.start
+ security.breached\_credential.detected
+ sécurité.request.blocked
+ sécurité.menace.détectée
+ security.zone.make\_blacklist
+ system.rate\_limit.violation
+ user.account.report\_suspicious\_activity\_by\_enduser
+ utilisateur.risk.change
+ user.risk.detect
+ zone.make\_blacklist
+ security.attack.end

**La gestion des entités** contient les événements suivants :
+ iam.role.create
+ system.idp.lifecycle.create
+ application.cycle de vie.create
+ group.cycle de vie.create
+ user.lifecycle.create
+ policy.lifecycle.create
+ zone.create
+ oauth2.as.created
+ event\_hook.created
+ inline\_hook.created
+ pam.security\_policy.create
+ iam.resourceset.create
+ pam.secret.create
+ analytics.reports.export.download
+ app.audit\_report.download
+ system.idp.lifecycle.read\_client\_secret
+ app.oauth2.client.read\_client\_secret
+ pam.secret.reveal
+ pam.service\_account.password.reveal
+ support.org.update
+ system.idp.lifecycle.update
+ cycle de vie de l'application. mise à jour
+ policy.lifecycle.update
+ user.account.update\_profile
+ utilisateur.account.update\_password
+ user.account.reset\_password
+ group.profile.update
+ mise à jour de zone
+ group.privilege.grant
+ group.privilege.revoke
+ iam.resourceset.bindings.add
+ utilisateur.account.privilege.grant
+ utilisateur.compte.privilege.revoke
+ pki.cert.lifecycle.revoke
+ iam.resourceset.update
+ iam.role.update
+ pam.security\_policy.update
+ oauth2.as.mis à jour
+ event\_hook.updated
+ inline\_hook.updated
+ pam.secret.update
+ iam.resourceset.bindings.delete
+ iam.role.delete
+ pam.security\_policy.delete
+ policy.lifecycle.delete
+ user.lifecycle.delete.initiated
+ cycle de vie.delete de l'application
+ group.cycle de vie.delete
+ zone.delete
+ oauth2.as. supprimé
+ event\_hook.supprimé
+ inline\_hook.supprimé
+ iam.resourceset.delete
+ pam.secret.delete
+ appareil.rollment.create
+ credential.register
+ accrédit.révoquer
+ policy.lifecycle.activate
+ system.feature.enable
+ event\_hook.activated
+ inline\_hook.activated
+ system.feature.disable
+ application.cycle de vie.activate
+ user.lifecycle.activate
+ zone.activate
+ oauth2.as.activated
+ system.log\_stream.lifecycle.activate
+ policy.lifecycle.deactivate
+ security.authenticator.lifecycle.deactivate
+ cycle de vie de l'application. désactiver
+ user.lifecycle.deactivate
+ zone.deactivate
+ event\_hook.désactivé
+ inline\_hook.désactivé
+ system.log\_stream.lifecycle.deactivate
+ oauth2.as.désactivé
+ user.account.lock
+ user.account.lock.limit
+ user.lifecycle.suspend
+ device.lifecycle.suspend
+ utilisateur.account.unlock
+ user.lifecycle.unsuspend
+ device.lifecycle.unsuspend
+ user.lifecycle.reactivate