Entrust IDaaS のソース設定
Entrust IDaaS との統合
Entrust Identity as a Service (IDaaS) は、クラウドベースの Identity and Access Management (IAM) プラットフォームであり、ワークフォース、コンシューマー、市民のユースケース全体にわたって、多要素認証 (MFA)、シングルサインオン (SSO)、アダプティブリスクベースの認証、包括的な監査ログ記録を提供します。CloudWatch パイプラインは、Entrust IDaaS Administration REST API を使用して、IDaaS テナントから ID イベントおよびアクセスイベントを取得します。管理 REST API は、2 つの主要なログカテゴリへのアクセスを提供します。認証ログ (MFA、SSO、SAML、OIDC、パスワードレス認証方法など、複数のイベントタイプにわたるユーザー認証イベントを記録) と管理ログ (ユーザー、グループ、アプリケーション、トークン、ポリシーなど、さまざまなエンティティタイプで実行された管理アクションと変更を追跡) です。
Entrust IDaaS を使用した認証
ログを読み込むには、パイプラインが Entrust IDaaS テナントで認証される必要があります。プラグインは、 applicationId と sharedSecret を使用した管理 API 認証をサポートします。
管理 API アプリケーションを作成する
IDaaS 管理者ポータルに移動し、[セキュリティ] → [アプリケーション] に移動します。
+ を選択し、使用可能なアプリケーションのリストから管理 API を選びます。
[全般] タブで、アプリケーションの名前と説明を入力し、次へを選択します。
[セットアップ] タブで、アプリケーションに必要なアクセス許可を持つロールを割り当て、送信を選択します。Entrust IDaaS 管理 API では、監査ログエンドポイントにアクセスするためにスーパー管理者ロールが必要です。
[完了] タブで、コピーを選択して
applicationIdとsharedSecretをコピーするか、JSON ファイルをダウンロードします。AWS Secrets Manager でシークレットを作成し、
applicationIdを キーclient_idの下に、sharedSecretをキーclient_secretの下に保存します。IDaaS API ベース URL は
https://<hostname>です。ここでhostnameは、認証情報 (例:https://entrust.us.trustedauth.com) から取得されます。
CloudWatch パイプラインの設定
Entrust IDaaS から監査ログを読み取るようにパイプラインを設定するには、データソースとして entrust_idaas を選択します。テナント hostname や、client_id と client_secretが保存されている認証情報の AWS Secrets Manager シークレット ARN などの必要な情報を入力します。パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。
サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
この統合では、OCSF スキーマのバージョン v1.5.0 と、認証 (3002) およびエンティティ管理 (3004) にマッピングするイベントがサポートされています。
認証には次のイベントが含まれます。
AuthenticationAdminApiSuccessEvent
AuthenticationDeniedEvent
AuthenticationExternalSecondFactorBypassEvent
AuthenticationExternalSuccessEvent
AuthenticationFaceSuccessEvent
AuthenticationFidoSuccessEvent
AuthenticationFirstFactorExternalSuccessEvent
AuthenticationFirstFactorIdpSuccessEvent
AuthenticationFirstFactorPasswordSuccessEvent
AuthenticationGridSuccessEvent
AuthenticationGridWithTempAccessCodeSuccessEvent
AuthenticationIdpSuccessEvent
AuthenticationKbaSuccessEvent
AuthenticationLockedEvent
AuthenticationMagicLinkSuccessEvent
AuthenticationOtpCreatedEvent
AuthenticationOtpEmailSentEvent
AuthenticationOtpNoCreditEvent
AuthenticationOtpSentToAllEvent
AuthenticationOtpSmsSentEvent
AuthenticationOtpSuccessEvent
AuthenticationOtpUnavailableEvent
AuthenticationOtpVoiceSentEvent
AuthenticationOtpWithTempAccessCodeSuccessEvent
AuthenticationPasskeySuccessEvent
AuthenticationPasswordSuccessEvent
AuthenticationSecondFactorFaceSuccessEvent
AuthenticationSecondFactorFIDOSuccessEvent
AuthenticationSecondFactorGridSuccessEvent
AuthenticationSecondFactorGridWithTempAccessCodeSuccessEvent
AuthenticationSecondFactorKbaSuccessEvent
AuthenticationSecondFactorMagicLinkSuccessEvent
AuthenticationSecondFactorOtpSuccessEvent
AuthenticationSecondFactorOtpWithTempAccessCodeSuccessEvent
AuthenticationSecondFactorSmartCredentialPushSuccessEvent
AuthenticationSecondFactorTempAccessCodeSuccessEvent
AuthenticationSecondFactorTokenSuccessEvent
AuthenticationSecondFactorTokenWithTempAccessCodeSuccessEvent
AuthenticationSecondFactorUserCertificateSuccessEvent
AuthenticationSmartCredentialPushSuccessEvent
AuthenticationSmartLoginSuccessEvent
AuthenticationTempAccessCodeSuccessEvent
AuthenticationTokenPushSuccessEvent
AuthenticationTokenSuccessEvent
AuthenticationTokenWithTempAccessCodeSuccessEvent
AuthenticationUserCertificateSuccessEvent
MachineLockedEvent
OidcAuthenticationFailedEvent
OidcAuthenticationSuccessEvent
SamlAuthenticationFailedEvent
SamlAuthenticationSuccessEvent
UserPasswordChangeFailedEvent
UserPasswordChangeLockedEvent
UserStepUpAuthenticationSuccessEvent
VerificationDeniedEvent
VerificationIdpSuccessEvent
エンティティ管理には、次のイベントが含まれます。
ACTIVESYNC
AD_CONNECTOR_DIRECTORIES
AGENTS
APPLICATIONS
ARCHIVES
AUTHENTICATIONFLOWS
AUTHORIZATIONGROUPS
AZURE_DIRECTORIES
BLACKLISTEDPASSWORDS
BULKENROLLMENTS
BULKGROUPS
BULKHARDWARETOKENS
BULKIDENTITYGUARD
BULKSMARTCARDS
BULKUSERS
CAS
CERTIFICATES
CLAIMS
CONTACTVERIFICATION
CONTEXTRULES
CREATETENANT
CREDENTIALDESIGNS
CUSTOMIZATIONVARIABLES
DIGITALIDCERTIFICATES
DIGITALIDCONFIGCERTTEMPS
DIGITALIDCONFIGS
DIGITALIDCONFIGSANS
DIGITALIDCONFIGVARIABLES
DIRECTORIES
DIRECTORYATTRIBUTES
DIRECTORYCONNECTIONS
DIRECTORYPASSWORD
DIRECTORYSEARCHATTRIBUTES
DIRECTORYSYNC
DOMAINCONTROLLERCERTS
EMAILTEMPLATES
EMAILVARIABLES
ENROLLMENTDESIGNS
ENROLLMENTS
ENTITLEMENTS
EXPECTEDLOCATIONS
EXPORTREPORTS
FACE
FIDOTOKENS
GATEWAYCSRS
GATEWAYS
GRIDCONTENTS
GRIDS
GROUPPOLICIES
GROUPS
HIGH_AVAILABILITY_GROUPS
HOSTNAMESETTINGS
IDENTITYPROVIDERS
IDPROOFING
IDPROOFINGLICENSE
INTELLITRUSTDESKTOPS
IPLISTS
ISSUANCE
MAGICLINKCONTENTS
MAGICLINKS
OAUTHROLES
ORGANIZATIONS
OTPPROVIDERS
OTPS
PIVCONTENTSIGNER
PKIAASCREDENTIALS
POLICYOVERRIDE
PREFERREDOTPPROVIDERS
PRINTERS
PUSHCREDENTIALS
QUESTIONS
RATELIMITING
REPORTS
RESOURCESERVERAPIS
RESOURCESERVERSCOPES
RISKENGINES
ROLES
SCDEFNPIVAPPLETCONFIGS
SCDEFNS
SCDEFNVARIABLES
SCHEDULEDTASKS
SCIMPROVISIONINGS
SENDAZUREAD
SENDEMAIL
SENDSCIM
SERVICEPROVIDERACCOUNTS
SERVICEPROVIDERS
SETTINGS
SMARTCARDS
SMARTCREDENTIALS
SMARTCREDENTIALSSIGNATURE
SPCLIENTCREDENTIALS
SPENTITLEMENTS
SPIDENTITYPROVIDERS
SPMANAGEMENTPLATFORM
SPROLES
SPUSERMGMT
SUBSCRIBERS
TEMPACCESSCODECONTENTS
TEMPACCESSCODES
TEMPLATES
TENANTS
TOKENACTIVATIONCONTENTS
TOKENS
TRANSACTIONITEMS
TRANSACTIONRULES
USERATTRIBUTES
USERATTRIBUTEVALUES
USERKBACHALLENGES
USERLOCATIONS
USERMACHINES
USEROAUTHTOKENS
USERPASSWORDS
USERQUESTIONANSWERS
USERQUESTIONS
USERRBASETTINGS
USERS
USERSITEROLES
USERSPROLES
WORDSYNONYMS
