# Configuração de fonte no Entrust iDaaS
<a name="entrust-idaas-source-setup"></a>

## Integrar com o Entrust iDaaS
<a name="entrust-idaas-integration"></a>

O Entrust Identity as a Service (IDaaS) é uma plataforma de gerenciamento de identidade e acesso (IAM) baseada na nuvem que fornece autenticação multifator (MFA), autenticação única (SSO), autenticação adaptativa baseada em riscos e registro em log de auditoria abrangente para força de trabalho, consumidores e cidadãos. O pipeline do CloudWatch usa a API REST de administração do Entrust IDaaS para recuperar eventos de identidade e acesso do locatário do IDaaS. A API REST de administração fornece acesso a duas categorias principais de log: logs de autenticação (captura de eventos de autenticação de usuário em vários tipos de eventos, incluindo MFA, SSO, SAML, OIDC e métodos de autenticação sem senha) e logs de gerenciamento (rastreando ações administrativas e alterações realizadas em vários tipos de entidades, como usuários, grupos, aplicações, tokens e políticas).

## Autenticar no Entrust IDaaS
<a name="entrust-idaas-authentication"></a>

Para ler os logs, o pipeline precisa ser autenticado no locatário do Entrust IDaaS. O plug-in é compatível com autenticação na API de administração usando um `applicationId` e um `sharedSecret`.

**Criar uma aplicação da API de administração**
+ Acesse o portal de administração do IDaaS e navegue até Segurança → Aplicações.
+ Escolha \+ e selecione API de administração na lista de aplicações disponíveis.
+ Na guia Geral, insira um nome e uma descrição para a aplicação e selecione Avançar.
+ Na guia Configuração, atribua o perfil com as permissões necessárias para a aplicação e escolha Enviar. A API de administração do Entrust IDaaS exige o perfil de superadministrador para acessar os endpoints dos logs de auditoria.
+ Na guia Concluído, escolha Copiar para copiar o `applicationId` e a `sharedSecret`, ou baixe o arquivo JSON.
+ No AWS Secrets Manager, crie um segredo e armazene o `applicationId` com a chave `client_id` e o segredo do cliente `sharedSecret` com a chave `client_secret`.
+ O URL de base da API do IDaaS é `https://<hostname>` onde o `hostname` é extraído das credenciais (por exemplo, `https://entrust.us.trustedauth.com`).

## Configurar o CloudWatch Pipeline
<a name="entrust-idaas-pipeline-config"></a>

Para configurar o pipeline para ler os logs de auditoria do Entrust IDaaS, escolha `entrust_idaas` como a fonte de dados. Preencha as informações necessárias, como o locatário `hostname` e o ARN secreto AWS Secrets Manager para as suas credenciais, nas quais `client_id` e `client_secret` são armazenados. Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

## Classes de eventos do Open Cybersecurity Schema Framework compatíveis
<a name="entrust-idaas-ocsf-events"></a>

Essa integração é compatível com o esquema OCSF versão v1.5.0 e os eventos que são mapeados para Authentication (3002) e Entity Management (3004).

**Authentication** inclui os seguintes eventos:
+ AuthenticationAdminApiSuccessEvent
+ AuthenticationDeniedEvent
+ AuthenticationExternalSecondFactorBypassEvent
+ AuthenticationExternalSuccessEvent
+ AuthenticationFaceSuccessEvent
+ AuthenticationFidoSuccessEvent
+ AuthenticationFirstFactorExternalSuccessEvent
+ AuthenticationFirstFactorIdpSuccessEvent
+ AuthenticationFirstFactorPasswordSuccessEvent
+ AuthenticationGridSuccessEvent
+ AuthenticationGridWithTempAccessCodeSuccessEvent
+ AuthenticationIdpSuccessEvent
+ AuthenticationKbaSuccessEvent
+ AuthenticationLockedEvent
+ AuthenticationMagicLinkSuccessEvent
+ AuthenticationOtpCreatedEvent
+ AuthenticationOtpEmailSentEvent
+ AuthenticationOtpNoCreditEvent
+ AuthenticationOtpSentToAllEvent
+ AuthenticationOtpSmsSentEvent
+ AuthenticationOtpSuccessEvent
+ AuthenticationOtpUnavailableEvent
+ AuthenticationOtpVoiceSentEvent
+ AuthenticationOtpWithTempAccessCodeSuccessEvent
+ AuthenticationPasskeySuccessEvent
+ AuthenticationPasswordSuccessEvent
+ AuthenticationSecondFactorFaceSuccessEvent
+ AuthenticationSecondFactorFIDOSuccessEvent
+ AuthenticationSecondFactorGridSuccessEvent
+ AuthenticationSecondFactorGridWithTempAccessCodeSuccessEvent
+ AuthenticationSecondFactorKbaSuccessEvent
+ AuthenticationSecondFactorMagicLinkSuccessEvent
+ AuthenticationSecondFactorOtpSuccessEvent
+ AuthenticationSecondFactorOtpWithTempAccessCodeSuccessEvent
+ AuthenticationSecondFactorSmartCredentialPushSuccessEvent
+ AuthenticationSecondFactorTempAccessCodeSuccessEvent
+ AuthenticationSecondFactorTokenSuccessEvent
+ AuthenticationSecondFactorTokenWithTempAccessCodeSuccessEvent
+ AuthenticationSecondFactorUserCertificateSuccessEvent
+ AuthenticationSmartCredentialPushSuccessEvent
+ AuthenticationSmartLoginSuccessEvent
+ AuthenticationTempAccessCodeSuccessEvent
+ AuthenticationTokenPushSuccessEvent
+ AuthenticationTokenSuccessEvent
+ AuthenticationTokenWithTempAccessCodeSuccessEvent
+ AuthenticationUserCertificateSuccessEvent
+ MachineLockedEvent
+ OidcAuthenticationFailedEvent
+ OidcAuthenticationSuccessEvent
+ SamlAuthenticationFailedEvent
+ SamlAuthenticationSuccessEvent
+ UserPasswordChangeFailedEvent
+ UserPasswordChangeLockedEvent
+ UserStepUpAuthenticationSuccessEvent
+ VerificationDeniedEvent
+ VerificationIdpSuccessEvent

**Entity Management** inclui os seguintes eventos:
+ ACTIVESYNC
+ AD\_CONNECTOR\_DIRECTORIES
+ AGENTS
+ APPLICATIONS
+ ARCHIVES
+ AUTHENTICATIONFLOWS
+ AUTHORIZATIONGROUPS
+ AZURE\_DIRECTORIES
+ BLACKLISTEDPASSWORDS
+ BULKENROLLMENTS
+ BULKGROUPS
+ BULKHARDWARETOKENS
+ BULKIDENTITYGUARD
+ BULKSMARTCARDS
+ BULKUSERS
+ CAS
+ CERTIFICATES
+ CLAIMS
+ CONTACTVERIFICATION
+ CONTEXTRULES
+ CREATETENANT
+ CREDENTIALDESIGNS
+ CUSTOMIZATIONVARIABLES
+ DIGITALIDCERTIFICATES
+ DIGITALIDCONFIGCERTTEMPS
+ DIGITALIDCONFIGS
+ DIGITALIDCONFIGSANS
+ DIGITALIDCONFIGVARIABLES
+ DIRECTORIES
+ DIRECTORYATTRIBUTES
+ DIRECTORYCONNECTIONS
+ DIRECTORYPASSWORD
+ DIRECTORYSEARCHATTRIBUTES
+ DIRECTORYSYNC
+ DOMAINCONTROLLERCERTS
+ EMAILTEMPLATES
+ EMAILVARIABLES
+ ENROLLMENTDESIGNS
+ ENROLLMENTS
+ ENTITLEMENTS
+ EXPECTEDLOCATIONS
+ EXPORTREPORTS
+ FACE
+ FIDOTOKENS
+ GATEWAYCSRS
+ GATEWAYS
+ GRIDCONTENTS
+ GRIDS
+ GROUPPOLICIES
+ GROUPS
+ HIGH\_AVAILABILITY\_GROUPS
+ HOSTNAMESETTINGS
+ IDENTITYPROVIDERS
+ IDPROOFING
+ IDPROOFINGLICENSE
+ INTELLITRUSTDESKTOPS
+ IPLISTS
+ ISSUANCE
+ MAGICLINKCONTENTS
+ MAGICLINKS
+ OAUTHROLES
+ ORGANIZATIONS
+ OTPPROVIDERS
+ OTPS
+ PIVCONTENTSIGNER
+ PKIAASCREDENTIALS
+ POLICYOVERRIDE
+ PREFERREDOTPPROVIDERS
+ PRINTERS
+ PUSHCREDENTIALS
+ QUESTIONS
+ RATELIMITING
+ REPORTS
+ RESOURCESERVERAPIS
+ RESOURCESERVERSCOPES
+ RISKENGINES
+ ROLES
+ SCDEFNPIVAPPLETCONFIGS
+ SCDEFNS
+ SCDEFNVARIABLES
+ SCHEDULEDTASKS
+ SCIMPROVISIONINGS
+ SENDAZUREAD
+ SENDEMAIL
+ SENDSCIM
+ SERVICEPROVIDERACCOUNTS
+ SERVICEPROVIDERS
+ SETTINGS
+ SMARTCARDS
+ SMARTCREDENTIALS
+ SMARTCREDENTIALSSIGNATURE
+ SPCLIENTCREDENTIALS
+ SPENTITLEMENTS
+ SPIDENTITYPROVIDERS
+ SPMANAGEMENTPLATFORM
+ SPROLES
+ SPUSERMGMT
+ SUBSCRIBERS
+ TEMPACCESSCODECONTENTS
+ TEMPACCESSCODES
+ TEMPLATES
+ TENANTS
+ TOKENACTIVATIONCONTENTS
+ TOKENS
+ TRANSACTIONITEMS
+ TRANSACTIONRULES
+ USERATTRIBUTES
+ USERATTRIBUTEVALUES
+ USERKBACHALLENGES
+ USERLOCATIONS
+ USERMACHINES
+ USEROAUTHTOKENS
+ USERPASSWORDS
+ USERQUESTIONANSWERS
+ USERQUESTIONS
+ USERRBASETTINGS
+ USERS
+ USERSITEROLES
+ USERSPROLES
+ WORDSYNONYMS