本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Okta SSO 的來源組態
## 與 Okta SSO 整合
CloudWatch Pipeline 使用 Okta 系統日誌 API 從您的 Okta SSO 租用戶擷取身分驗證、API 活動、偵測問題清單和實體管理事件。
## 使用 Okta SSO 驗證
若要讀取日誌,管道需要向您的 Okta SSO 租用戶進行身分驗證。對於 Okta SSO,身分驗證是使用 OAuth 2.0 用戶端登入資料 (JWT 聲明) 流程透過 Okta API Services 應用程式執行。
**產生私有/公有金鑰對以進行身分驗證**
+ 使用管理員帳戶登入 Okta 管理員主控台。
+ 導覽至應用程式 → 應用程式。
+ 選取現有的 API Services 應用程式或建立新的應用程式。
+ 在一般 → 用戶端登入資料下,上傳公有金鑰或產生新金鑰。此金鑰對將用於使用已簽署的 JWT 聲明進行身分驗證。
+ 確保應用程式已指派必要的 OAuth 範圍,特別是: `okta.logs.read`
+ 管理員角色 → 編輯指派 → 角色 (選取唯讀管理員)
+ 複製應用程式的用戶端 ID。
+ 將 client\_id 和 client\_secret(私有金鑰) 存放在 AWS Secrets Manager: `client_id`和 `client_secret(private_key)`(用於簽署 JWT 聲明的 RSA 私有金鑰)
+ 識別您的 Okta Organization URL 並在管道中設定 (例如:`https://yourdomain.okta.com`)。
設定完成後,管道可以使用 Okta 的 OAuth 2.0 用戶端登入資料 (JWT 聲明) 流程進行驗證,並開始從 Okta 系統日誌 API 擷取稽核日誌事件。
## 設定 CloudWatch 管道
若要設定管道讀取日誌,請選擇 Okta SSO 做為資料來源。填寫必要資訊,例如 Okta 網域名稱。建立並啟用管道後,Okta SSO 的稽核日誌資料將開始流入選取的 CloudWatch Logs 日誌群組。
## 支援的開放式網路安全結構描述架構事件類別
此整合支援映射至身分驗證 (3002)、API 活動 (6003)、偵測調查結果 (2004) 和實體管理 (3004) 的 OCSF 結構描述版本 v1.5.0 和 Okta 事件。
**身分驗證**包含下列事件:
+ user.authentication.auth
+ user.authentication.auth\_via\_AD\_agent
+ user.authentication.auth\_via\_IDP
+ user.authentication.auth\_via\_LDAP\_agent
+ user.authentication.auth\_via\_inbound\_SAML
+ user.authentication.auth\_via\_inbound\_delauth
+ user.authentication.auth\_via\_iwa
+ user.authentication.auth\_via\_mfa
+ user.authentication.auth\_via\_radius
+ user.authentication.auth\_via\_richclient
+ user.authentication.auth\_via\_social
+ user.authentication.authenticate
+ user.authentication.sso
+ user.session.start
+ user.session.impersonation.grant
+ app.oauth2.signon
+ user.session.impersonation.initiate
+ user.authentication.universal\_logout
+ user.session.clear
+ user.session.end
+ user.authentication.slo
+ user.authentication.universal\_logout.scheduled
+ user.session.expire
+ user.session.impersonation.end
+ user.authentication.verify
+ policy.evaluate\_sign\_on
+ user.mfa.attempt\_bypass
+ user.mfa.okta\_verify
+ user.mfa.okta\_verify.deny\_push
+ user.mfa.okta\_verify.deny\_push\_upgrade\_needed
+ user.mfa.factor.activate
+ user.mfa.factor.deactivate
+ user.mfa.factor.reset\_all
+ user.mfa.factor.suspend
+ user.mfa.factor.unsuspend
+ user.mfa.factor.update
+ user.session.impersonation.extend
+ user.session.impersonation.revoke
+ user.session.access\_admin\_app
+ user.session.context.change
+ application.policy.sign\_on.deny\_access
+ user.authentication.auth\_un configured\_identifier
+ user.authentication.dsso\_via\_non\_priority\_source
+ app.oauth2.invalid\_client\_credentials
+ policy.auth\_reevaluate.fail
**API 活動**包含下列事件:
+ oauth2.claim.created
+ oauth2.scope.created
+ security.trusted\_origin.create
+ system.api\_token.create
+ workflows.user.table.view
+ app.oauth2.as.key.rollover
+ app.saml.sensitive.attribute.update
+ system.api\_token.update
+ oauth2.claim.updated
+ oauth2.scope.updated
+ security.events.provider.deactivate
+ system.api\_token.revoke
+ oauth2.claim.deleted
+ oauth2.scope.deleted
**Detection Finding** 包含下列事件:
+ security.attack.start
+ security.breached\_credential.detected
+ security.request.blocked
+ security.threat.detected
+ security.zone.make\_blacklist
+ system.rate\_limit.violation
+ user.account.report\_suspicious\_activity\_by\_enduser
+ user.risk.change
+ user.risk.detect
+ zone.make\_blacklist
+ security.attack.end
**實體管理**包含下列事件:
+ iam.role.create
+ system.idp.lifecycle.create
+ application.lifecycle.create
+ group.lifecycle.create
+ user.lifecycle.create
+ policy.lifecycle.create
+ zone.create
+ oauth2.as.created
+ event\_hook.created
+ inline\_hook.created
+ pam.security\_policy.create
+ iam.resourceset.create
+ pam.secret.create
+ analytics.reports.export.download
+ app.audit\_report.download
+ system.idp.lifecycle.read\_client\_secret
+ app.oauth2.client.read\_client\_secret
+ pam.secret.reveal
+ pam.service\_account.password.reveal
+ support.org.update
+ system.idp.lifecycle.update
+ application.lifecycle.update
+ policy.lifecycle.update
+ user.account.update\_profile
+ user.account.update\_password
+ user.account.reset\_password
+ group.profile.update
+ zone.update
+ group.privilege.grant
+ group.privilege.revoke
+ iam.resourceset.bindings.add
+ user.account.privilege.grant
+ user.account.privilege.revoke
+ pki.cert.lifecycle.revoke
+ iam.resourceset.update
+ iam.role.update
+ pam.security\_policy.update
+ oauth2.as.updated
+ event\_hook.updated
+ inline\_hook.updated
+ pam.secret.update
+ iam.resourceset.bindings.delete
+ iam.role.delete
+ pam.security\_policy.delete
+ policy.lifecycle.delete
+ user.lifecycle.delete.initiated
+ application.lifecycle.delete
+ group.lifecycle.delete
+ zone.delete
+ oauth2.as.deleted
+ event\_hook.deleted
+ inline\_hook.deleted
+ iam.resourceset.delete
+ pam.secret.delete
+ device.enrollment.create
+ credentials.register
+ credentials.revoke
+ policy.lifecycle.activate
+ system.feature.enable
+ event\_hook.activated
+ inline\_hook.activated
+ system.feature.disable
+ application.lifecycle.activate
+ user.lifecycle.activate
+ zone.activate
+ oauth2.as.activated
+ system.log\_stream.lifecycle.activate
+ policy.lifecycle.deactivate
+ security.authenticator.lifecycle.deactivate
+ application.lifecycle.deactivate
+ user.lifecycle.deactivate
+ zone.deactivate
+ event\_hook.deactivated
+ inline\_hook.deactivated
+ system.log\_stream.lifecycle.deactivate
+ oauth2.as.deactivated
+ user.account.lock
+ user.account.lock.limit
+ user.lifecycle.suspend
+ device.lifecycle.suspend
+ user.account.unlock
+ user.lifecycle.unsuspend
+ device.lifecycle.unsuspend
+ user.lifecycle.reactivate