Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasi sumber untuk Okta SSO
## Integrasi dengan Okta SSO
CloudWatch Pipeline menggunakan API Log Sistem Okta untuk mengambil peristiwa Otentikasi, Aktivitas API, Pencarian Deteksi, dan Manajemen Entitas dari penyewa Okta SSO Anda.
## Otentikasi dengan Okta SSO
Untuk membaca log, pipeline perlu diautentikasi dengan penyewa Okta SSO Anda. Untuk Okta SSO, autentikasi dilakukan dengan menggunakan aliran OAuth 2.0 Client Credentials (JWT Assertion) melalui aplikasi Okta API Services.
**Menghasilkan private/public key pair untuk otentikasi**
+ Masuk ke Konsol Admin Okta menggunakan akun administrator.
+ Arahkan ke Aplikasi → Aplikasi.
+ Pilih Aplikasi Layanan API yang ada atau buat yang baru.
+ Di bawah General → Client Credentials, unggah kunci publik atau buat kunci baru. Key pair ini akan digunakan untuk mengautentikasi menggunakan pernyataan JWT yang ditandatangani.
+ Pastikan aplikasi memiliki OAuth cakupan yang diperlukan yang ditetapkan, khususnya: `okta.logs.read`
+ Peran Admin → Edit tugas → Peran (Pilih Administrator Hanya Baca)
+ Salin ID Klien aplikasi.
+ Simpan client\_id dan client\_secret (kunci pribadi) di AWS Secrets Manager: `client_id` dan `client_secret(private_key)` (kunci pribadi RSA yang digunakan untuk menandatangani pernyataan JWT)
+ Identifikasi URL Organisasi Okta Anda dan konfigurasikan dalam pipeline (misalnya:`https://yourdomain.okta.com`).
Setelah dikonfigurasi, pipeline dapat mengautentikasi menggunakan aliran Okta OAuth 2.0 Client Credentials (JWT Assertion) dan mulai mengambil peristiwa log audit dari Okta System Log API.
## Mengkonfigurasi Pipeline CloudWatch
Untuk mengonfigurasi pipeline untuk membaca log, pilih Okta SSO sebagai sumber data. Isi informasi yang diperlukan seperti nama Domain Okta. Setelah Anda membuat dan mengaktifkan pipeline, data log audit dari Okta SSO akan mulai mengalir ke grup CloudWatch log Log yang dipilih.
## Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung
Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa Okta yang dipetakan ke Authentication (3002), API Activity (6003), Detection Finding (2004), dan Entity Management (3004).
**Otentikasi** berisi peristiwa berikut:
+ user.authentication.auth
+ User.Authentication.AUTH\_VIA\_AD\_AGENT
+ User.Authentication.AUTH\_VIA\_IDP
+ User.Authentication.AUTH\_VIA\_LDAP\_Agent
+ User.authentication.auth\_via\_inbound\_saml
+ user.authentication.auth\_via\_inbound\_delauth
+ user.authentication.auth\_via\_iwa
+ user.authentication.auth\_via\_mfa
+ user.authentication.auth\_via\_radius
+ user.authentication.auth\_via\_richclient
+ user.authentication.auth\_via\_social
+ user.authentication.authenticate
+ user.authentication.sso
+ user.session.start
+ user.session.impersonation.grant
+ app.oauth2.signon
+ user.session.impersonation.initiate
+ user.authentication.universal\_logout
+ user.session.clear
+ user.session.end
+ user.authentication.slo
+ user.authentication.universal\_logout.scheduled
+ user.session.expire
+ user.session.impersonation.end
+ user.authentication.verify
+ policy.evaluate\_sign\_on
+ user.mfa.attempt\_bypass
+ user.mfa.okta\_verify
+ user.mfa.okta\_verify.deny\_push
+ user.mfa.okta\_verify.deny\_push\_upgrade\_needed
+ user.mfa.factor.activate
+ user.mfa.factor.deactivate
+ user.mfa.factor.reset\_all
+ user.mfa.factor.suspend
+ user.mfa.factor.unsuspend
+ user.mfa.factor.update
+ user.session.impersonation.extend
+ user.session.impersonation.revoke
+ user.session.access\_admin\_app
+ user.session.context.change
+ application.policy.sign\_on.deny\_access
+ user.authentication.auth\_unconfigured\_identifier
+ user.authentication.dsso\_via\_non\_priority\_source
+ app.oauth2.invalid\_client\_credentials
+ policy.auth\_reevaluate.fail
**Aktivitas API** berisi peristiwa berikut:
+ oauth2.claim.created
+ oauth2.scope.created
+ security.trusted\_origin.create
+ system.api\_token.create
+ workflows.user.table.view
+ app.oauth2.as.key.rollover
+ app.saml.sensitive.attribute.update
+ system.api\_token.update
+ oauth2.claim.diperbarui
+ oauth2.scope.updated
+ security.events.provider.deactivate
+ system.api\_token.cabut
+ oauth2.claim.deleted
+ oauth2.scope.deleted
**Deteksi Finding** berisi peristiwa berikut:
+ security.attack.start
+ security.breached\_credential.detected
+ security.request.blocked
+ security.threat.detected
+ security.zone.make\_blacklist
+ system.rate\_limit.violation
+ user.account.report\_suspicious\_activity\_by\_enduser
+ user.risk.change
+ user.risk.detect
+ zone.make\_blacklist
+ security.attack.end
**Manajemen Entitas** berisi peristiwa-peristiwa berikut:
+ iam.role.create
+ system.idp.lifecycle.create
+ application.lifecycle.create
+ group.lifecycle.create
+ user.lifecycle.create
+ policy.lifecycle.create
+ zona.create
+ oauth2.as.created
+ event\_hook.created
+ inline\_hook.created
+ pam.security\_policy.create
+ iam.resourceset.create
+ pam.secret.create
+ analytics.reports.export.download
+ app.audit\_report.download
+ system.idp.lifecycle.read\_client\_secret
+ app.oauth2.client.read\_client\_secret
+ pam.secret.reveal
+ pam.service\_account.password.reveal
+ support.org.update
+ system.idp.lifecycle.update
+ application.lifecycle.update
+ policy.lifecycle.update
+ user.account.update\_profile
+ user.account.update\_password
+ user.account.reset\_password
+ group.profile.update
+ zona.update
+ group.privilege.grant
+ group.privilege.revoke
+ iam.resourceset.bindings.add
+ user.account.privilege.grant
+ user.account.privilege.revoke
+ pki.cert.lifecycle.revoke
+ iam.resourceset.update
+ iam.role.update
+ pam.security\_policy.update
+ oauth2.as.diperbarui
+ event\_hook.update
+ inline\_hook.update
+ pam.secret.update
+ iam.resourceset.bindings.delete
+ iam.role.delete
+ pam.security\_policy.delete
+ policy.lifecycle.delete
+ user.lifecycle.delete.initiated
+ application.lifecycle.delete
+ group.lifecycle.delete
+ zona.delete
+ oauth2.as.deleted
+ event\_hook.deleted
+ inline\_hook.deleted
+ iam.resourceset.delete
+ pam.secret.delete
+ device.enrollment.create
+ kredensial.register
+ credential.revoke
+ policy.lifecycle.activate
+ system.feature.enable
+ event\_hook.activated
+ inline\_hook.activated
+ system.feature.disable
+ application.lifecycle.activate
+ user.lifecycle.activate
+ zona.aktifkan
+ oauth2.as.activated
+ system.log\_stream.lifecycle.activate
+ policy.lifecycle.deactivate
+ security.authenticator.lifecycle.deactivate
+ application.lifecycle.deactivate
+ user.lifecycle.deactivate
+ zone.deactivate
+ event\_hook.dinonaktifkan
+ inline\_hook.dinonaktifkan
+ system.log\_stream.lifecycle.deactivate
+ oauth2.as.dinonaktifkan
+ user.account.lock
+ user.account.lock.limit
+ user.lifecycle.suspend
+ device.lifecycle.suspend
+ user.account.unlock
+ user.lifecycle.unsuspend
+ device.lifecycle.unsuspend
+ user.lifecycle.reactivate