Configuração de fonte no Entrust iDaaS
Integrar com o Entrust iDaaS
O Entrust Identity as a Service (IDaaS) é uma plataforma de gerenciamento de identidade e acesso (IAM) baseada na nuvem que fornece autenticação multifator (MFA), autenticação única (SSO), autenticação adaptativa baseada em riscos e registro em log de auditoria abrangente para força de trabalho, consumidores e cidadãos. O pipeline do CloudWatch usa a API REST de administração do Entrust IDaaS para recuperar eventos de identidade e acesso do locatário do IDaaS. A API REST de administração fornece acesso a duas categorias principais de log: logs de autenticação (captura de eventos de autenticação de usuário em vários tipos de eventos, incluindo MFA, SSO, SAML, OIDC e métodos de autenticação sem senha) e logs de gerenciamento (rastreando ações administrativas e alterações realizadas em vários tipos de entidades, como usuários, grupos, aplicações, tokens e políticas).
Autenticar no Entrust IDaaS
Para ler os logs, o pipeline precisa ser autenticado no locatário do Entrust IDaaS. O plug-in é compatível com autenticação na API de administração usando um applicationId e um sharedSecret.
Criar uma aplicação da API de administração
Acesse o portal de administração do IDaaS e navegue até Segurança → Aplicações.
Escolha + e selecione API de administração na lista de aplicações disponíveis.
Na guia Geral, insira um nome e uma descrição para a aplicação e selecione Avançar.
Na guia Configuração, atribua o perfil com as permissões necessárias para a aplicação e escolha Enviar. A API de administração do Entrust IDaaS exige o perfil de superadministrador para acessar os endpoints dos logs de auditoria.
Na guia Concluído, escolha Copiar para copiar o
applicationIde asharedSecret, ou baixe o arquivo JSON.No AWS Secrets Manager, crie um segredo e armazene o
applicationIdcom a chaveclient_ide o segredo do clientesharedSecretcom a chaveclient_secret.O URL de base da API do IDaaS é
https://<hostname>onde ohostnameé extraído das credenciais (por exemplo,https://entrust.us.trustedauth.com).
Configurar o CloudWatch Pipeline
Para configurar o pipeline para ler os logs de auditoria do Entrust IDaaS, escolha entrust_idaas como a fonte de dados. Preencha as informações necessárias, como o locatário hostname e o ARN secreto AWS Secrets Manager para as suas credenciais, nas quais client_id e client_secret são armazenados. Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.
Classes de eventos do Open Cybersecurity Schema Framework compatíveis
Essa integração é compatível com o esquema OCSF versão v1.5.0 e os eventos que são mapeados para Authentication (3002) e Entity Management (3004).
Authentication inclui os seguintes eventos:
AuthenticationAdminApiSuccessEvent
AuthenticationDeniedEvent
AuthenticationExternalSecondFactorBypassEvent
AuthenticationExternalSuccessEvent
AuthenticationFaceSuccessEvent
AuthenticationFidoSuccessEvent
AuthenticationFirstFactorExternalSuccessEvent
AuthenticationFirstFactorIdpSuccessEvent
AuthenticationFirstFactorPasswordSuccessEvent
AuthenticationGridSuccessEvent
AuthenticationGridWithTempAccessCodeSuccessEvent
AuthenticationIdpSuccessEvent
AuthenticationKbaSuccessEvent
AuthenticationLockedEvent
AuthenticationMagicLinkSuccessEvent
AuthenticationOtpCreatedEvent
AuthenticationOtpEmailSentEvent
AuthenticationOtpNoCreditEvent
AuthenticationOtpSentToAllEvent
AuthenticationOtpSmsSentEvent
AuthenticationOtpSuccessEvent
AuthenticationOtpUnavailableEvent
AuthenticationOtpVoiceSentEvent
AuthenticationOtpWithTempAccessCodeSuccessEvent
AuthenticationPasskeySuccessEvent
AuthenticationPasswordSuccessEvent
AuthenticationSecondFactorFaceSuccessEvent
AuthenticationSecondFactorFIDOSuccessEvent
AuthenticationSecondFactorGridSuccessEvent
AuthenticationSecondFactorGridWithTempAccessCodeSuccessEvent
AuthenticationSecondFactorKbaSuccessEvent
AuthenticationSecondFactorMagicLinkSuccessEvent
AuthenticationSecondFactorOtpSuccessEvent
AuthenticationSecondFactorOtpWithTempAccessCodeSuccessEvent
AuthenticationSecondFactorSmartCredentialPushSuccessEvent
AuthenticationSecondFactorTempAccessCodeSuccessEvent
AuthenticationSecondFactorTokenSuccessEvent
AuthenticationSecondFactorTokenWithTempAccessCodeSuccessEvent
AuthenticationSecondFactorUserCertificateSuccessEvent
AuthenticationSmartCredentialPushSuccessEvent
AuthenticationSmartLoginSuccessEvent
AuthenticationTempAccessCodeSuccessEvent
AuthenticationTokenPushSuccessEvent
AuthenticationTokenSuccessEvent
AuthenticationTokenWithTempAccessCodeSuccessEvent
AuthenticationUserCertificateSuccessEvent
MachineLockedEvent
OidcAuthenticationFailedEvent
OidcAuthenticationSuccessEvent
SamlAuthenticationFailedEvent
SamlAuthenticationSuccessEvent
UserPasswordChangeFailedEvent
UserPasswordChangeLockedEvent
UserStepUpAuthenticationSuccessEvent
VerificationDeniedEvent
VerificationIdpSuccessEvent
Entity Management inclui os seguintes eventos:
ACTIVESYNC
AD_CONNECTOR_DIRECTORIES
AGENTS
APPLICATIONS
ARCHIVES
AUTHENTICATIONFLOWS
AUTHORIZATIONGROUPS
AZURE_DIRECTORIES
BLACKLISTEDPASSWORDS
BULKENROLLMENTS
BULKGROUPS
BULKHARDWARETOKENS
BULKIDENTITYGUARD
BULKSMARTCARDS
BULKUSERS
CAS
CERTIFICATES
CLAIMS
CONTACTVERIFICATION
CONTEXTRULES
CREATETENANT
CREDENTIALDESIGNS
CUSTOMIZATIONVARIABLES
DIGITALIDCERTIFICATES
DIGITALIDCONFIGCERTTEMPS
DIGITALIDCONFIGS
DIGITALIDCONFIGSANS
DIGITALIDCONFIGVARIABLES
DIRECTORIES
DIRECTORYATTRIBUTES
DIRECTORYCONNECTIONS
DIRECTORYPASSWORD
DIRECTORYSEARCHATTRIBUTES
DIRECTORYSYNC
DOMAINCONTROLLERCERTS
EMAILTEMPLATES
EMAILVARIABLES
ENROLLMENTDESIGNS
ENROLLMENTS
ENTITLEMENTS
EXPECTEDLOCATIONS
EXPORTREPORTS
FACE
FIDOTOKENS
GATEWAYCSRS
GATEWAYS
GRIDCONTENTS
GRIDS
GROUPPOLICIES
GROUPS
HIGH_AVAILABILITY_GROUPS
HOSTNAMESETTINGS
IDENTITYPROVIDERS
IDPROOFING
IDPROOFINGLICENSE
INTELLITRUSTDESKTOPS
IPLISTS
ISSUANCE
MAGICLINKCONTENTS
MAGICLINKS
OAUTHROLES
ORGANIZATIONS
OTPPROVIDERS
OTPS
PIVCONTENTSIGNER
PKIAASCREDENTIALS
POLICYOVERRIDE
PREFERREDOTPPROVIDERS
PRINTERS
PUSHCREDENTIALS
QUESTIONS
RATELIMITING
REPORTS
RESOURCESERVERAPIS
RESOURCESERVERSCOPES
RISKENGINES
ROLES
SCDEFNPIVAPPLETCONFIGS
SCDEFNS
SCDEFNVARIABLES
SCHEDULEDTASKS
SCIMPROVISIONINGS
SENDAZUREAD
SENDEMAIL
SENDSCIM
SERVICEPROVIDERACCOUNTS
SERVICEPROVIDERS
SETTINGS
SMARTCARDS
SMARTCREDENTIALS
SMARTCREDENTIALSSIGNATURE
SPCLIENTCREDENTIALS
SPENTITLEMENTS
SPIDENTITYPROVIDERS
SPMANAGEMENTPLATFORM
SPROLES
SPUSERMGMT
SUBSCRIBERS
TEMPACCESSCODECONTENTS
TEMPACCESSCODES
TEMPLATES
TENANTS
TOKENACTIVATIONCONTENTS
TOKENS
TRANSACTIONITEMS
TRANSACTIONRULES
USERATTRIBUTES
USERATTRIBUTEVALUES
USERKBACHALLENGES
USERLOCATIONS
USERMACHINES
USEROAUTHTOKENS
USERPASSWORDS
USERQUESTIONANSWERS
USERQUESTIONS
USERRBASETTINGS
USERS
USERSITEROLES
USERSPROLES
WORDSYNONYMS
