Configuración de PingIdentity PingOne como origen
Integración con PingIdentity PingOne
PingOne es una plataforma de identidad como servicio (IDaaS) basada en la nube de Ping Identity que proporciona capacidades de administración de identidades y accesos. La canalización de CloudWatch utiliza la API de registros de auditoría de PingOne para recuperar información sobre eventos de autenticación, actividades de usuarios, decisiones de políticas y cambios administrativos en el entorno de PingOne. La API de registros de auditoría permite acceder a datos de eventos mediante puntos de conexión de REST, lo que permite recuperar registros de seguridad y acceso de la organización de PingOne.
Autenticación con PingIdentity PingOne
Para leer los registros, la canalización se debe autenticar con el entorno de PingOne. En PingOne, la autenticación se realiza mediante OAuth 2.0.
Configuración de la autenticación de OAuth 2.0 para PingOne
Inicie sesión en la consola de PingOne y vaya a Aplicaciones → Aplicaciones. Cree una nueva aplicación del tipo Trabajador. Anote el ID de cliente y el ID del entorno.
Genere un nuevo secreto de cliente desde la pestaña Configuración. Copie el secreto de inmediato.
En AWS Secrets Manager, cree un secreto y almacene el ID de cliente con la clave
client_idy el secreto de cliente con la claveclient_secret.Asigne a la aplicación los roles Administrador del entorno y Propietario de la aplicación.
Identifique la región de PingOne (NA, EU, AP, AU, CA, SG).
Anote el ID del entorno en Configuración → Entorno → Propiedades.
Configuración de la canalización de CloudWatch
Para configurar la canalización para leer registros, elija PingOne como origen de datos. Complete la información requerida, como el ID del entorno. De forma opcional, especifique la región (NA de forma predeterminada) y el formato de duración del intervalo (por ejemplo, PT21H para las últimas 21 horas). El intervalo predeterminado es de 0 horas y el máximo es de 90 días. Una vez que cree y active la canalización, los datos de registros de auditoría de PingOne comenzarán a fluir hacia el grupo de registro de CloudWatch seleccionado.
Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles
Esta integración admite la versión 1.5.0 del esquema OCSF y eventos de PingOne que se asignan a Cambio de cuenta (3001), Autenticación (3002) y Administración de entidades (3004).
El cambio de cuentas contiene los siguientes eventos:
USER.CREATED
USER.INVITED
USER.REINVITED
USER.INVITE_ACCEPTED
PASSWORD.FORCE_CHANGE
PASSWORD.RECOVERY
PASSWORD.RESET
USER.INVITE_REVOKED
USER.DELETED
USER.LOCKED
MFA_SETTINGS.UPDATED
PASSWORD.UNLOCKED
USER.UNLOCKED
La autenticación contiene los siguientes eventos:
AUTHENTICATION.CREATED
RADIUS_SESSION.CREATED
SESSION.CREATED
SESSION.UPDATED
SESSION.DELETED
USER.SLO_FAILURE
USER.SLO_PARTIAL_LOGOUT
USER.SLO_REQUESTED
USER.SLO_SUCCESS
USER.KERBEROS_FAILED
USER.KERBEROS_SUCCEEDED
DEVICE.ACTIVATION_OTP_FAILED
DEVICE.ACTIVATION_OTP_INVALID
DEVICE_PAYLOAD.CHECK_INVALID
DEVICE_PAYLOAD.CHECK_SUCCESS
OTP.CHECK_FAILED
OTP.CHECK_INVALID
OTP.CHECK_SUCCESS
PASSWORD.CHECK_FAILED
PASSWORD.CHECK_SUCCEEDED
La administración de entidades contiene los eventos siguientes:
ACTION.CREATED
AGREEMENT.CREATED
AGREEMENT_LANGUAGE.CREATED
AGREEMENT_LANGUAGE_REVISION.CREATED
APPLICATION.CREATED
AUTHORIZE_POLICY.CREATED
CERTIFICATE.CREATED
DEVICE.CREATED
DEVICE_AUTHENTICATION_POLICY.CREATED
FIDO_POLICY.CREATED
FLOW.CREATED
FLOW_DEFINITION.CREATED
FLOW_EXECUTION.CREATED
GROUP.CREATED
IDENTITY_PROVIDER.CREATED
IDP_ATTRIBUTE.CREATED
INSTANT_MESSAGING_DELIVERY_SETTINGS.CREATED
KEY.CREATED
LICENSE.CREATED
NOTIFICATION.CREATED
NOTIFICATION_POLICY.CREATED
ORGANIZATION.CREATED
POLICY.CREATED
RISK_POLICY_SET.CREATED
SAML_ATTRIBUTE.CREATED
SCHEMA_ATTRIBUTE.CREATED
SIGN_ON_POLICY_ASSIGNMENT.CREATED
VERIFY_POLICY.CREATED
CERTIFICATE.READ
KEY.READ
SECRET.READ
ACTION.UPDATED
ADMIN_CONFIGURATION.UPDATED
AGREEMENT.UPDATED
AGREEMENT_LANGUAGE.UPDATED
AGREEMENT_LANGUAGE_REVISION.UPDATED
APPLICATION.UPDATED
AUTHORIZE_POLICY.UPDATED
CERTIFICATE.UPDATED
DEVICE.NICKNAME_UPDATED
DEVICE.UPDATED
DEVICE_AUTHENTICATION_POLICY.UPDATED
FIDO_POLICY.UPDATED
FLOW.UPDATED
FLOW_DEFINITION.UPDATED
FLOW_EXECUTION.UPDATED
GROUP.UPDATED
IDENTITY_PROVIDER.UPDATED
IDP_ATTRIBUTE.UPDATED
INSTANT_MESSAGING_DELIVERY_SETTINGS.UPDATED
KEY.UPDATED
LICENSE.UPDATED
NOTIFICATION.UPDATED
NOTIFICATION_POLICY.UPDATED
NOTIFICATIONS_SETTINGS.UPDATED
ORGANIZATION.UPDATED
POLICY.UPDATED
RISK_POLICY_SET.ORDER_UPDATED
RISK_POLICY_SET.UPDATED
SAML_ATTRIBUTE.UPDATED
SCHEMA_ATTRIBUTE.UPDATED
SECRET.UPDATED
SETTINGS.UPDATED
SIGN_ON_POLICY_ASSIGNMENT.UPDATED
USER.QUOTA_RESET
USER.UPDATED
VERIFY_POLICY.UPDATED
ACTION.DELETED
AGREEMENT.DELETED
AGREEMENT_LANGUAGE.DELETED
AGREEMENT_LANGUAGE_REVISION.DELETED
APPLICATION.DELETED
AUTHORIZE_POLICY.DELETED
CERTIFICATE.DELETED
DEVICE.DELETED
DEVICE_AUTHENTICATION_POLICY.DELETED
FIDO_POLICY.DELETED
FLOW.DELETED
FLOW_DEFINITION.DELETED
GROUP.DELETED
IDENTITY_PROVIDER.DELETED
IDP_ATTRIBUTE.DELETED
INSTANT_MESSAGING_DELIVERY_SETTINGS.DELETED
KEY.DELETED
LICENSE.DELETED
NOTIFICATION_POLICY.DELETED
ORGANIZATION.DELETED
POLICY.DELETED
RISK_POLICY_SET.DELETED
SAML_ATTRIBUTE.DELETED
SCHEMA_ATTRIBUTE.DELETED
SIGN_ON_POLICY_ASSIGNMENT.DELETED
VERIFY_POLICY.DELETED
DEVICE.UNBLOCKED
DEVICE.BLOCKED
NOTIFICATION.REJECTED
DEVICE.ACTIVATED
DEVICE.LOCKED
DEVICE.UNLOCKED
ROLE.CREATED
ROLE.UPDATED
ROLE.DELETED
