View a markdown version of this page

Configuração de fonte para o Okta SSO - Amazon CloudWatch
Integrar com o Okta SSOAutenticar com o Okta SSOConfigurar o CloudWatch PipelineClasses de eventos do Open Cybersecurity Schema Framework compatíveis

Configuração de fonte para o Okta SSO

Integrar com o Okta SSO

O CloudWatch Pipeline usa a Okta System Log API para recuperar eventos de Authentication, API Activity, Detection Finding e Entity Management do locatário do Okta SSO.

Autenticar com o Okta SSO

Para ler os logs, o pipeline precisa ser autenticado no locatário Okta SSO. No Okta SSO, a autenticação é realizada usando o fluxo de credenciais de cliente OAuth 2.0 (asserção JWT ) por uma aplicação do Okta API Services.

Gerar o par de chaves privada/pública para autenticação

  • Faça login no Okta Admin Console usando uma conta de administrador.

  • Navegue até Aplications → Aplications.

  • Selecione uma aplicação existente do API Services ou crie uma nova.

  • Em Geral → Credenciais do cliente, carregue uma chave pública ou gere uma nova chave. Esse par de chaves será usado para autenticação com uma asserção JWT assinada.

  • Certifique-se de que a aplicação tenha os escopos do OAuth necessários atribuídos, especificamente: okta.logs.read

  • Admin Roles → Edit assignments → Role (Selecione Read-only Administrator)

  • Copie o ID de cliente da aplicação.

  • Armazene o client_id e o client_secret (chave privada) no AWS Secrets Manager: client_id e client_secret(private_key) (a chave privada RSA usada para assinar a asserção JWT)

  • Identifique a URL da sua organização Okta e configure no pipeline (por exemplo: https://yourdomain.okta.com).

Depois de configurado, o pipeline pode ser autenticado usando o fluxo de credenciais de cliente OAuth 2.0 (asserção JWT) da Okta e começar a recuperar eventos de logs de auditoria da Okta System Log API.

Configurar o CloudWatch Pipeline

Para configurar o pipeline para ler logs, escolha Okta SSO como a fonte de dados. Preencha as informações necessárias, como nome do Okta Domain. Depois de criar e ativar o pipeline, os dados de log de auditoria do Okta SSO começarão a fluir para o grupo de logs do CloudWatch Logs selecionado.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos do Okta que são mapeados para Authentication (3002), API Activity (6003), Detection Finding (2004) e Entity Management (3004).

Authentication inclui os seguintes eventos:

  • user.authentication.auth

  • user.authentication.auth_via_AD_agent

  • user.authentication.auth_via_IDP

  • user.authentication.auth_via_LDAP_agent

  • user.authentication.auth_via_inbound_SAML

  • user.authentication.auth_via_inbound_delauth

  • user.authentication.auth_via_iwa

  • user.authentication.auth_via_mfa

  • user.authentication.auth_via_radius

  • user.authentication.auth_via_richclient

  • user.authentication.auth_via_social

  • user.authentication.authenticate

  • user.authentication.sso

  • user.session.start

  • user.session.impersonation.grant

  • app.oauth2.signon

  • user.session.impersonation.initiate

  • user.authentication.universal_logout

  • user.session.clear

  • user.session.end

  • user.authentication.slo

  • user.authentication.universal_logout.scheduled

  • user.session.expire

  • user.session.impersonation.end

  • user.authentication.verify

  • policy.evaluate_sign_on

  • user.mfa.attempt_bypass

  • user.mfa.okta_verify

  • user.mfa.okta_verify.deny_push

  • user.mfa.okta_verify.deny_push_upgrade_needed

  • user.mfa.factor.activate

  • user.mfa.factor.deactivate

  • user.mfa.factor.reset_all

  • user.mfa.factor.suspend

  • user.mfa.factor.unsuspend

  • user.mfa.factor.update

  • user.session.impersonation.extend

  • user.session.impersonation.revoke

  • user.session.access_admin_app

  • user.session.context.change

  • application.policy.sign_on.deny_access

  • user.authentication.auth_unconfigured_identifier

  • user.authentication.dsso_via_non_priority_source

  • app.oauth2.invalid_client_credentials

  • policy.auth_reevaluate.fail

Mostrar maisMostrar menos

API Activity inclui os seguintes eventos:

  • oauth2.claim.created

  • oauth2.scope.created

  • security.trusted_origin.create

  • system.api_token.create

  • workflows.user.table.view

  • app.oauth2.as.key.rollover

  • app.saml.sensitive.attribute.update

  • system.api_token.update

  • oauth2.claim.updated

  • oauth2.scope.updated

  • security.events.provider.deactivate

  • system.api_token.revoke

  • oauth2.claim.deleted

  • oauth2.scope.deleted

Detection Finding inclui os seguintes eventos:

  • security.attack.start

  • security.breached_credential.detected

  • security.request.blocked

  • security.threat.detected

  • security.zone.make_blacklist

  • system.rate_limit.violation

  • user.account.report_suspicious_activity_by_enduser

  • user.risk.change

  • user.risk.detect

  • zone.make_blacklist

  • security.attack.end

Entity Management inclui os seguintes eventos:

  • iam.role.create

  • system.idp.lifecycle.create

  • application.lifecycle.create

  • group.lifecycle.create

  • user.lifecycle.create

  • policy.lifecycle.create

  • zone.create

  • oauth2.as.created

  • event_hook.created

  • inline_hook.created

  • pam.security_policy.create

  • iam.resourceset.create

  • pam.secret.create

  • analytics.reports.export.download

  • app.audit_report.download

  • system.idp.lifecycle.read_client_secret

  • app.oauth2.client.read_client_secret

  • pam.secret.reveal

  • pam.service_account.password.reveal

  • support.org.update

  • system.idp.lifecycle.update

  • application.lifecycle.update

  • policy.lifecycle.update

  • user.account.update_profile

  • user.account.update_password

  • user.account.reset_password

  • group.profile.update

  • zone.update

  • group.privilege.grant

  • group.privilege.revoke

  • iam.resourceset.bindings.add

  • user.account.privilege.grant

  • user.account.privilege.revoke

  • pki.cert.lifecycle.revoke

  • iam.resourceset.update

  • iam.role.update

  • pam.security_policy.update

  • oauth2.as.updated

  • event_hook.updated

  • inline_hook.updated

  • pam.secret.update

  • iam.resourceset.bindings.delete

  • iam.role.delete

  • pam.security_policy.delete

  • policy.lifecycle.delete

  • user.lifecycle.delete.initiated

  • application.lifecycle.delete

  • group.lifecycle.delete

  • zone.delete

  • oauth2.as.deleted

  • event_hook.deleted

  • inline_hook.deleted

  • iam.resourceset.delete

  • pam.secret.delete

  • device.enrollment.create

  • credential.register

  • credential.revoke

  • policy.lifecycle.activate

  • system.feature.enable

  • event_hook.activated

  • inline_hook.activated

  • system.feature.disable

  • application.lifecycle.activate

  • user.lifecycle.activate

  • zone.activate

  • oauth2.as.activated

  • system.log_stream.lifecycle.activate

  • policy.lifecycle.deactivate

  • security.authenticator.lifecycle.deactivate

  • application.lifecycle.deactivate

  • user.lifecycle.deactivate

  • zone.deactivate

  • event_hook.deactivated

  • inline_hook.deactivated

  • system.log_stream.lifecycle.deactivate

  • oauth2.as.deactivated

  • user.account.lock

  • user.account.lock.limit

  • user.lifecycle.suspend

  • device.lifecycle.suspend

  • user.account.unlock

  • user.lifecycle.unsuspend

  • device.lifecycle.unsuspend

  • user.lifecycle.reactivate

Mostrar maisMostrar menos