Configuração de fonte no OneLogin Identity
Integrar com o OneLogin Identity
O OneLogin é uma plataforma de gerenciamento de identidade e acesso (IAM) baseada em nuvem que fornece autenticação única (SSO), autenticação multifator (MFA) e recursos de provisionamento de usuários. O CloudWatch Pipeline usa a API Eventos do OneLogin para recuperar informações sobre eventos de autenticação, atividades de usuários, decisões de políticas e mudanças administrativas por todo o ambiente do OneLogin. A API Eventos permite acesso a dados de eventos por endpoints REST, permitindo recuperar logs de segurança e acesso da sua organização do OneLogin.
Autenticar no OneLogin Identity
Para ler os logs, o pipeline precisa ser autenticado no ambiente do OneLogin. No OneLogin, a autenticação é realizada com o OAuth2.
Configurar a autenticação OAuth2 para o OneLogin
Entre no portal de administração do OneLogin e navegue até Desenvolvedores → Credenciais de API. Crie um novo par de credenciais de API. Anote imediatamente o ID e a chave secreta do cliente.
Atribua as permissões apropriadas. Selecione Ler tudo ou Gerenciar tudo para garantir que as credenciais possam acessar os dados do log de eventos.
No AWS Secrets Manager, crie um segredo e armazene o ID do cliente com a chave
client_ide o segredo do cliente com a chaveclient_secret.Anote o ID da sua conta (subdomínio) no Portal de administração do OneLogin em Configurações → Configurações da conta.
Configurar o CloudWatch Pipeline
Para configurar o pipeline para ler logs, escolha o OneLogin como a fonte de dados. Preencha as informações necessárias, como subdomínio e credenciais de autenticação. Opcionalmente, especifique o formato de duração do intervalo (por exemplo, PT21H para as últimas 21 horas). Depois que o pipeline é criado e ativado, os dados de log de auditoria do OneLogin começam a fluir para o grupo de logs selecionado do CloudWatch Logs.
Classes de eventos do Open Cybersecurity Schema Framework compatíveis
Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos do OneLogin que são mapeados para Account Change (3001), Authentication (3002) e Entity Management (3004).
Account Change inclui os seguintes eventos:
O usuário solicitou uma nova senha
Senha alterada para o usuário
Usuário desativado
Solicitação de senha do usuário aprovada
Usuário bloqueado
Usuário suspenso
Entrada do usuário na aplicação bloqueada
Dispositivo OTP desbloqueado para o usuário
Usuário suspenso na aplicação
Usuário suspenso no diretório
Usuário desbloqueado no diretório
Permissão para gerenciar perfil concedida ao usuário
Permissão do usuário para gerenciar perfil revogada
SSO de desktop habilitado para o usuário
SSO de desktop desabilitado para o usuário
O administrador alterou a senha para o usuário
Redirecionado para um site externo para redefinição de senha
API: senha atualizada para o usuário
API: usuário bloqueado
Usuário suspenso via API
Usuário bloqueado via API
O usuário habilitou o login adaptativo para a conta
O usuário desabilitou o login adaptativo para a conta
Alterar senha de perfil
Usuário adicionado manualmente à aplicação
Usuário removido manualmente da aplicação
Não foi possível alterar a senha para o usuário
Não foi possível conceder ao usuário permissão para gerenciar o perfil
Não foi possível revogar a permissão do usuário para gerenciar o perfil
Senha inteligente atualizada para o usuário
Não foi possível atualizar a senha inteligente para o usuário
API: senha não atualizada para o usuário
Authentication inclui os seguintes eventos:
O usuário iniciou a sessão no OneLogin
O usuário encerrou a sessão do OneLogin
O usuário iniciou a sessão na aplicação
O usuário sessão na aplicação
Usuário autenticado pela configuração do RADIUS
Usuário autenticado via API
Usuário autenticado com sucesso no VLDAP
Usuário entrou no OneLogin via rede social
Usuário autenticado com sucesso no VLDAP (OneLogin Desktop Mac)
API: usuário encerrou sessão
API: verificar fator chamado
API: sucesso em confirmar OTP para o usuário
Usuário forçado a encerrar sessão
O usuário iniciou sessão em um dispositivo confiável com sucesso
O usuário iniciou sessão via área de trabalho do OneLogin com sucesso
Autorização via solicitação de envio de OTP negada ao usuário
Usuário desafiado por OTP
Usuário reautenticado na aplicação
Dispositivo de OTP verificado pelo usuário
Sucesso de senha do OIDC para a aplicação
API: sucesso de fator de gatilho para o usuário
Sucesso do fluxo implícito do OIDC para a aplicação
Sucesso da autorização do OIDC para a aplicação
Sucesso da obtenção de código do OIDC para a aplicação
Sucesso do token de validação do OIDC para a aplicação
Não foi possível autenticar o usuário
O usuário não teve sucesso em iniciar sessão na aplicação
Usuário rejeitado pela configuração do RADIUS
Não foi possível iniciar sessão na aplicação via IDP
Não foi possível fazer a autenticação na aplicação
Não foi possível autenticar o usuário via API
Não foi possível autenticar o usuário no VLDAP
A política de autenticação de usuário não permite iniciar sessão via rede social
Não foi possível autenticar o usuário no VLDAP (OneLogin Desktop Mac)
API: o usuário não teve sucesso em encerrar a sessão
API: não foi possível verificar o fator
API: não foi possível confirmar a OTP para o usuário
O usuário não teve sucesso em iniciar sessão em um dispositivo confiável
O usuário não teve sucesso em iniciar sessão via OneLogin Desktop
Não foi possível autenticar o usuário via OneLogin Desktop
O usuário não teve sucesso no desafio de OTP
Falha no fluxo implícito do OIDC para a aplicação
Não foi possível autorizar o código do OIDC para a aplicação
Falha na senha do OIDC para a aplicação
Não foi possível validar o token do OIDC para a aplicação
Falha geral do OIDC
Não foi possível obter o código do OIDC para a aplicação
Entity Management inclui os seguintes eventos:
Perfil atribuído ao usuário
O usuário foi criado
Usuário atualizado
Usuário desativado
O usuário foi ativado
O usuário foi excluído
Dispositivo de OTP registrado para o usuário
Dispositivo de OTP cancelado para o usuário
Cartão de crédito atualizado
Usuário provisionado na aplicação
Usuário atualizado na aplicação
Usuário suspenso na aplicação
Usuário reativado na aplicação
Usuário excluído da aplicação
Permissão de privilégio concedida à conta
Permissão de privilégio revogada para a conta
Permissão de privilégio concedida ao usuário
Permissão de privilégio revogada para o usuário
IDP confiável adicionado
IDP confiável removido
IDP confiável modificado
Usuário provisionado no diretório
Usuário atualizado por diretório
Usuário suspenso no diretório
Usuário reativado no diretório
Usuário excluído do diretório
Observação de segurança excluída
Informações de login de usuário atualizadas
Tentativa de atualizar as informações de login
Alterado o IDP confiável padrão
Usuário adicionado a perfil
Usuário removido de perfil
Política criada
Política atualizada
Política excluída
Agente proxy criado
Agente proxy excluído
Configuração do RADIUS criada
Configuração do RADIUS atualizada
Configuração do RADIUS excluída
VPN habilitada
Configurações de VPN atualizadas
VPN desabilitada
Incorporação habilitada
Configurações de incorporação atualizadas
Incorporação desabilitada
Fator de autenticação criado
Fator de autenticação atualizado
Fator de autenticação excluído
Perguntas de segurança atualizadas
Configurações de SSO de desktop atualizadas
SSO de desktop habilitado
SSO de desktop desabilitado
Certificado criado
Certificado excluído
Credencial de API criada
Credencial de API excluída
Credencial de API habilitada
Credencial de API desabilitada
LDAP virtual habilitado
LDAP virtual desabilitado
Configurações de LDAP virtual atualizadas
Branding habilitado
Branding desabilitado
Branding atualizado
Mapeamento excluído
Mapeamento desabilitado
Mapeamento habilitado
Mapeamento atualizado
Campos de usuário personalizados excluídos
Informações de empresa atualizadas
Configurações de conta atualizadas
Diretório excluído
Instância do conector excluída do diretório
Autorregistro criado
Autorregistro atualizado
Autoregistro excluído
Registro de pagamento criado
Registro de pagamento atualizado
Registro de pagamento excluído
Termos e condições de política atualizados
Login de usuário atualizado manualmente para aplicação
O usuário foi criado por IDP confiável
O ID externo do diretório foi atualizado para o usuário
O ID externo do diretório foi excluído para o usuário
Emissor atualizado
Emissor excluído
API: perfis adicionados ao usuário
API: perfis removidos do usuário
API: usuário atualizado
API: usuário excluído
API: usuário criado
Diretório atualizado
As UOs foram atualizadas para o diretório
Usuário suspenso via API
Usuário reativado via API
A aplicação foi atualizada
O conector foi criado
O conector foi atualizado
O conector foi excluído
O parâmetro foi criado
O parâmetro foi atualizado
O parâmetro foi excluído
Dispositivo excluído do OneLogin Desktop
Revogado certificado de usuário
Revogado certificado de dispositivo
A aplicação foi criada via API
A aplicação foi atualizada via API
A aplicação foi destruída via API
Sandbox excluído
Sandbox criado
Sandbox atualizado
Fator de segurança excluído pelo usuário
Fator de segurança renomeado pelo usuário
Atributo do RADIUS criado
Atributo do RADIUS atualizado
Atributo do RADIUS excluído
Perfil criado
Perfis excluídos
Configuração de SMTP atualizada
Smart hook criado
Smart hook atualizado
Smart hook excluído
Variável de ambiente do smart hook criada
Variável de ambiente do smart hook atualizada
Variável de ambiente do smart hook excluída
API: o privilégio foi criado
Privilégio criado
API: o privilégio foi atualizado
Privilégio atualizado
API: o privilégio foi excluído
Privilégio excluído
API: o privilégio foi atribuído ao usuário
Privilégio atribuído ao usuário
API: o privilégio foi removido do usuário
Privilégio removido do usuário
API: privilégio atribuído ao perfil
Privilégio atribuído ao perfil
API: privilégio removido do perfil
Privilégio removido do perfil
Relatório criado
Relatório atualizado
Relatório destruído
Grupo criado
Grupo atualizado
Grupo destruído
Observação de segurança criada
API: regras da aplicação criadas com sucesso
API: regras da aplicação atualizadas com sucesso
API: regras da aplicação excluídas com sucesso
API: perfis atualizados com sucesso
Não foi possível validar o cartão de crédito
Não foi possível atualizar o usuário
Não foi possível excluir o usuário da aplicação
Não foi possível atualizar o usuário na aplicação
Usuário não atualizado na aplicação
API: usuário não excluído
API: usuário não atualizado
API: usuário não criado
Não foi possível criar o conector
Não foi possível atualizar o conector
Não foi possível excluir o conector
Não foi possível criar o parâmetro
Não foi possível atualizar o parâmetro
Não foi possível excluir o parâmetro
Não foi possível criar a aplicação via API
Não foi possível atualizar a aplicação via API
Não foi possível destruir a aplicação via API
Não foi possível excluir o sandbox
Não foi possível criar o sandbox
Não foi possível atualizar o sandbox
Não foi possível validar o smart hook
Não foi possível atualizar a variável de ambiente do smart hook
API: não foi possível criar as regras da aplicação
API: não foi possível atualizar as regras da aplicação
API: não foi possível excluir as regras da aplicação
Não foi possível adicionar o usuário ao perfil
Não foi possível criar o perfil
Não foi possível excluir o perfil
API: não foi possível atualizar os perfis
