# Configuração de fonte para o Okta SSO
<a name="okta-sso-source-setup"></a>

## Integrar com o Okta SSO
<a name="okta-sso-integration"></a>

O CloudWatch Pipeline usa a Okta System Log API para recuperar eventos de Authentication, API Activity, Detection Finding e Entity Management do locatário do Okta SSO.

## Autenticar com o Okta SSO
<a name="okta-sso-authentication"></a>

Para ler os logs, o pipeline precisa ser autenticado no locatário Okta SSO. No Okta SSO, a autenticação é realizada usando o fluxo de credenciais de cliente OAuth 2.0 (asserção JWT ) por uma aplicação do Okta API Services.

**Gerar o par de chaves privada/pública para autenticação**
+ Faça login no Okta Admin Console usando uma conta de administrador.
+ Navegue até Aplications → Aplications.
+ Selecione uma aplicação existente do API Services ou crie uma nova.
+ Em Geral → Credenciais do cliente, carregue uma chave pública ou gere uma nova chave. Esse par de chaves será usado para autenticação com uma asserção JWT assinada.
+ Certifique-se de que a aplicação tenha os escopos do OAuth necessários atribuídos, especificamente: `okta.logs.read`
+ Admin Roles → Edit assignments → Role (Selecione Read-only Administrator)
+ Copie o ID de cliente da aplicação.
+ Armazene o client\_id e o client\_secret (chave privada) no AWS Secrets Manager: `client_id` e `client_secret(private_key)` (a chave privada RSA usada para assinar a asserção JWT)
+ Identifique a URL da sua organização Okta e configure no pipeline (por exemplo: `https://yourdomain.okta.com`).

Depois de configurado, o pipeline pode ser autenticado usando o fluxo de credenciais de cliente OAuth 2.0 (asserção JWT) da Okta e começar a recuperar eventos de logs de auditoria da Okta System Log API.

## Configurar o CloudWatch Pipeline
<a name="okta-sso-pipeline-config"></a>

Para configurar o pipeline para ler logs, escolha Okta SSO como a fonte de dados. Preencha as informações necessárias, como nome do Okta Domain. Depois de criar e ativar o pipeline, os dados de log de auditoria do Okta SSO começarão a fluir para o grupo de logs do CloudWatch Logs selecionado.

## Classes de eventos do Open Cybersecurity Schema Framework compatíveis
<a name="okta-sso-ocsf-events"></a>

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos do Okta que são mapeados para Authentication (3002), API Activity (6003), Detection Finding (2004) e Entity Management (3004).

**Authentication** inclui os seguintes eventos:
+ user.authentication.auth
+ user.authentication.auth\_via\_AD\_agent
+ user.authentication.auth\_via\_IDP
+ user.authentication.auth\_via\_LDAP\_agent
+ user.authentication.auth\_via\_inbound\_SAML
+ user.authentication.auth\_via\_inbound\_delauth
+ user.authentication.auth\_via\_iwa
+ user.authentication.auth\_via\_mfa
+ user.authentication.auth\_via\_radius
+ user.authentication.auth\_via\_richclient
+ user.authentication.auth\_via\_social
+ user.authentication.authenticate
+ user.authentication.sso
+ user.session.start
+ user.session.impersonation.grant
+ app.oauth2.signon
+ user.session.impersonation.initiate
+ user.authentication.universal\_logout
+ user.session.clear
+ user.session.end
+ user.authentication.slo
+ user.authentication.universal\_logout.scheduled
+ user.session.expire
+ user.session.impersonation.end
+ user.authentication.verify
+ policy.evaluate\_sign\_on
+ user.mfa.attempt\_bypass
+ user.mfa.okta\_verify
+ user.mfa.okta\_verify.deny\_push
+ user.mfa.okta\_verify.deny\_push\_upgrade\_needed
+ user.mfa.factor.activate
+ user.mfa.factor.deactivate
+ user.mfa.factor.reset\_all
+ user.mfa.factor.suspend
+ user.mfa.factor.unsuspend
+ user.mfa.factor.update
+ user.session.impersonation.extend
+ user.session.impersonation.revoke
+ user.session.access\_admin\_app
+ user.session.context.change
+ application.policy.sign\_on.deny\_access
+ user.authentication.auth\_unconfigured\_identifier
+ user.authentication.dsso\_via\_non\_priority\_source
+ app.oauth2.invalid\_client\_credentials
+ policy.auth\_reevaluate.fail

**API Activity** inclui os seguintes eventos:
+ oauth2.claim.created
+ oauth2.scope.created
+ security.trusted\_origin.create
+ system.api\_token.create
+ workflows.user.table.view
+ app.oauth2.as.key.rollover
+ app.saml.sensitive.attribute.update
+ system.api\_token.update
+ oauth2.claim.updated
+ oauth2.scope.updated
+ security.events.provider.deactivate
+ system.api\_token.revoke
+ oauth2.claim.deleted
+ oauth2.scope.deleted

**Detection Finding** inclui os seguintes eventos:
+ security.attack.start
+ security.breached\_credential.detected
+ security.request.blocked
+ security.threat.detected
+ security.zone.make\_blacklist
+ system.rate\_limit.violation
+ user.account.report\_suspicious\_activity\_by\_enduser
+ user.risk.change
+ user.risk.detect
+ zone.make\_blacklist
+ security.attack.end

**Entity Management** inclui os seguintes eventos:
+ iam.role.create
+ system.idp.lifecycle.create
+ application.lifecycle.create
+ group.lifecycle.create
+ user.lifecycle.create
+ policy.lifecycle.create
+ zone.create
+ oauth2.as.created
+ event\_hook.created
+ inline\_hook.created
+ pam.security\_policy.create
+ iam.resourceset.create
+ pam.secret.create
+ analytics.reports.export.download
+ app.audit\_report.download
+ system.idp.lifecycle.read\_client\_secret
+ app.oauth2.client.read\_client\_secret
+ pam.secret.reveal
+ pam.service\_account.password.reveal
+ support.org.update
+ system.idp.lifecycle.update
+ application.lifecycle.update
+ policy.lifecycle.update
+ user.account.update\_profile
+ user.account.update\_password
+ user.account.reset\_password
+ group.profile.update
+ zone.update
+ group.privilege.grant
+ group.privilege.revoke
+ iam.resourceset.bindings.add
+ user.account.privilege.grant
+ user.account.privilege.revoke
+ pki.cert.lifecycle.revoke
+ iam.resourceset.update
+ iam.role.update
+ pam.security\_policy.update
+ oauth2.as.updated
+ event\_hook.updated
+ inline\_hook.updated
+ pam.secret.update
+ iam.resourceset.bindings.delete
+ iam.role.delete
+ pam.security\_policy.delete
+ policy.lifecycle.delete
+ user.lifecycle.delete.initiated
+ application.lifecycle.delete
+ group.lifecycle.delete
+ zone.delete
+ oauth2.as.deleted
+ event\_hook.deleted
+ inline\_hook.deleted
+ iam.resourceset.delete
+ pam.secret.delete
+ device.enrollment.create
+ credential.register
+ credential.revoke
+ policy.lifecycle.activate
+ system.feature.enable
+ event\_hook.activated
+ inline\_hook.activated
+ system.feature.disable
+ application.lifecycle.activate
+ user.lifecycle.activate
+ zone.activate
+ oauth2.as.activated
+ system.log\_stream.lifecycle.activate
+ policy.lifecycle.deactivate
+ security.authenticator.lifecycle.deactivate
+ application.lifecycle.deactivate
+ user.lifecycle.deactivate
+ zone.deactivate
+ event\_hook.deactivated
+ inline\_hook.deactivated
+ system.log\_stream.lifecycle.deactivate
+ oauth2.as.deactivated
+ user.account.lock
+ user.account.lock.limit
+ user.lifecycle.suspend
+ device.lifecycle.suspend
+ user.account.unlock
+ user.lifecycle.unsuspend
+ device.lifecycle.unsuspend
+ user.lifecycle.reactivate