Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione del codice sorgente per Okta SSO
<a name="okta-sso-source-setup"></a>

## Integrazione con Okta SSO
<a name="okta-sso-integration"></a>

CloudWatch Pipeline utilizza l'API Okta System Log per recuperare gli eventi di autenticazione, attività API, rilevamento e gestione delle entità dal tenant SSO di Okta.

## Autenticazione con Okta SSO
<a name="okta-sso-authentication"></a>

Per leggere i log, la pipeline deve autenticarsi con il tenant SSO di Okta. Per Okta SSO, l'autenticazione viene eseguita utilizzando il flusso OAuth 2.0 Client Credentials (JWT Assertion) tramite un'applicazione Okta API Services.

**Genera la private/public key pair per l'autenticazione**
+ Accedi alla Okta Admin Console utilizzando un account amministratore.
+ Vai su Applicazioni → Applicazioni.
+ Seleziona un'applicazione di servizi API esistente o creane una nuova.
+ In Generale → Credenziali del cliente, carica una chiave pubblica o genera una nuova chiave. Questa coppia di chiavi verrà utilizzata per l'autenticazione utilizzando un'asserzione JWT firmata.
+ Assicurati che all'applicazione siano assegnati gli OAuth ambiti richiesti, in particolare: `okta.logs.read`
+ Ruoli di amministratore → Modifica assegnazioni → Ruolo (seleziona Amministratore di sola lettura)
+ Copia l'ID client dell'applicazione.
+ Memorizza client\_id e client\_secret (chiave privata) in Gestione dei segreti AWS: `client_id` and `client_secret(private_key)` (la chiave privata RSA utilizzata per firmare l'asserzione JWT)
+ Identifica l'URL della tua organizzazione Okta e configuralo nella pipeline (ad esempio:). `https://yourdomain.okta.com`

Una volta configurata, la pipeline può autenticarsi utilizzando il flusso OAuth 2.0 Client Credentials (JWT Assertion) di Okta e iniziare a recuperare gli eventi del registro di controllo dall'API Okta System Log.

## CloudWatch Configurazione della pipeline
<a name="okta-sso-pipeline-config"></a>

Per configurare la pipeline per leggere i log, scegli Okta SSO come origine dati. Inserisci le informazioni richieste come il nome di dominio Okta. Dopo aver creato e attivato la pipeline, i dati del registro di controllo di Okta SSO inizieranno a fluire nel gruppo di log Logs selezionato. CloudWatch 

## Classi di eventi Open Cybersecurity Schema Framework supportate
<a name="okta-sso-ocsf-events"></a>

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi Okta associati a Authentication (3002), API Activity (6003), Detection Finding (2004) ed Entity Management (3004).

**L'**autenticazione contiene i seguenti eventi:
+ user.authentication.auth
+ user.authentication.auth\_via\_ad\_agent
+ User.Authentication.AUTH\_VIA\_IDP
+ user.authentication.auth\_via\_LDAP\_Agent
+ User.Authentication.AUTH\_VIA\_INBOUND\_SAML
+ user.authentication.auth\_via\_inbound\_delauth
+ user.authentication.auth\_via\_iwa
+ user.authentication.auth\_via\_mfa
+ user.authentication.auth\_via\_radius
+ user.authentication.auth\_via\_richclient
+ user.authentication.auth\_via\_social
+ user.authentication.authenticate
+ user.authentication.sso
+ user.session.start
+ user.session.impersonation.grant
+ app.oauth2.sign on
+ user.session.impersonation.initiate
+ user.authentication.universal\_logout
+ user.session.clear
+ user.session.end
+ user.authentication.slo
+ user.authentication.universal\_logout.schedulato
+ user.session.expire
+ user.session.impersonation.end
+ user.authentication.verify
+ policy.evaluate\_sign\_on
+ user.mfa.attempt\_bypass
+ user.mfa.okta\_verify
+ user.mfa.okta\_verify.deny\_push
+ user.mfa.okta\_verify.deny\_push\_upgrade\_needed
+ user.mfa.factor.activate
+ user.mfa.factor.deactivate
+ user.mfa.factor.reset\_all
+ user.mfa.factor.suspend
+ user.mfa.factor.unsuspend
+ user.mfa.factor.update
+ user.session.impersonation.extend
+ user.session.impersonation.revoke
+ user.session.access\_admin\_app
+ user.session.context.change
+ application.policy.sign\_on.deny\_access
+ user.authentication.auth\_unconfigured\_identifier
+ user.authentication.dsso\_via\_non\_priority\_source
+ app.oauth2.invalid\_client\_credentials
+ policy.auth\_reevaluate.fail

**L'attività dell'API contiene i seguenti eventi:**
+ oauth2.claim.created
+ oauth2.scope.creato
+ security.trusted\_origin.create
+ system.api\_token.create
+ workflows.user.table.view
+ app.oauth2.as.key.rollover
+ app.saml.sensitive.attribute.update
+ system.api\_token.update
+ oauth2.claim.updated
+ oauth2.scope.aggiornato
+ security.events.provider.deactivate
+ system.api\_token.revoke
+ oauth2.claim.deleted
+ oauth2.scope.deleted

**Detection** Finding contiene i seguenti eventi:
+ security.attack.start
+ security.breached\_credential.detected
+ security.request.locked
+ sicurezza.threat.detected
+ security.zone.make\_blacklist
+ system.rate\_limit.violation
+ user.account.report\_suspicious\_activity\_by\_enduser
+ user.risk.change
+ user.risk.detect
+ zone.make\_blacklist
+ security.attack.end

**Entity Management contiene** i seguenti eventi:
+ iam.role.create
+ system.idp.lifecycle.create
+ application.lifecycle.create
+ group.lifecycle.create
+ user.lifecycle.create
+ policy.lifecycle.create
+ zona. creare
+ oauth2.as.created
+ event\_hook.creato
+ inline\_hook.creato
+ pam.security\_policy.create
+ iam.resourceset.create
+ pam.secret.create
+ analytics.reports.export.scarica
+ app.audit\_report.scarica
+ system.idp.lifecycle.read\_client\_secret
+ app.oauth2.client.read\_client\_secret
+ pam.secret.reveal
+ pam.service\_account.password.reveal
+ support.org.update
+ system.idp.lifecycle.update
+ applicazione.lifecycle.update
+ policy.lifecycle.update
+ user.account.update\_profile
+ user.account.update\_password
+ user.account.reset\_password
+ group.profile.update
+ zone.update
+ group.privilege.grant
+ group.privilege.revoke
+ iam.resourceset.bindings.add
+ user.account.privilege.grant
+ user.account.privilege.revoke
+ pki.cert.lifecycle.revoke
+ iam.resourceset.update
+ iam.role.update
+ pam.security\_policy.update
+ oauth2.as.updated
+ event\_hook.aggiornato
+ inline\_hook.aggiornato
+ pam.secret.update
+ iam.resourceset.bindings.delete
+ iam.role.delete
+ pam.security\_policy.delete
+ policy.lifecycle.delete
+ user.lifecycle.delete.initiated
+ application.lifecycle.delete
+ group.lifecycle.delete
+ zona.elimina
+ oauth2.as.delete
+ event\_hook.eliminato
+ inline\_hook.deleted
+ iam.resourceset.delete
+ pam.secret.delete
+ device.enrollment.create
+ credenziale.register
+ credenzial.revoke
+ policy.lifecycle.activate
+ system.feature.enable
+ event\_hook.activated
+ inline\_hook.activated
+ system.feature.disable
+ applicazione.lifecycle.activate
+ user.lifecycle.activate
+ zone.activate
+ oauth2.as.attivato
+ system.log\_stream.lifecycle.activate
+ policy.lifecycle.deactivate
+ security.authenticator.lifecycle.deactivate
+ application.lifecycle.deactivate
+ user.lifecycle.deactivate
+ zone.deactivate
+ event\_hook.disattivato
+ inline\_hook.disattivato
+ system.log\_stream.lifecycle.deactivate
+ oauth2.as.deactivated
+ user.account.lock
+ user.account.lock.limit
+ user.lifecycle.suspend
+ device.lifecycle.suspend
+ user.account.unlock
+ user.lifecycle.unsuspend
+ device.lifecycle.unsuspend
+ user.lifecycle.reactivate