Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration source pour PingIdentity PingOne
Intégration avec PingIdentity PingOne
PingOne est la plateforme cloud identity-as-a-service (IDaaS) de Ping Identity qui fournit des fonctionnalités de gestion des identités et des accès. CloudWatch Pipeline utilise l'API PingOne Audit Logs pour récupérer des informations sur les événements d'authentification, les activités des utilisateurs, les décisions politiques et les modifications administratives dans votre PingOne environnement. L'API Audit Logs permet d'accéder aux données des événements via les points de terminaison REST, ce qui permet de récupérer les journaux de sécurité et d'accès de votre PingOne organisation.
Authentification avec PingIdentity PingOne
Pour lire les journaux, le pipeline doit s'authentifier auprès de votre PingOne environnement. En effet PingOne, l'authentification est effectuée à l'aide de OAuth2.
Configurer OAuth2 l'authentification pour PingOne
Connectez-vous à la PingOne console et accédez à Applications → Applications. Créez une nouvelle application de type Worker. Notez l'ID client et l'ID d'environnement.
Générez un nouveau secret client à partir de l'onglet Configuration. Copiez le secret immédiatement.
Dans AWS Secrets Manager, créez un secret et stockez l'ID client sous clé
client_idet le secret client sous cléclient_secret.Attribuez les rôles d'administrateur de l'environnement et de propriétaire de l'application à l'application.
Identifiez votre PingOne région (NA, EU, AP, AU, CA, SG).
Notez l'ID d'environnement dans Paramètres → Environnement → Propriétés.
Configuration du CloudWatch pipeline
Pour configurer le pipeline afin de lire les journaux, PingOne choisissez-le comme source de données. Renseignez les informations requises, telles que l'ID d'environnement. Spécifiez éventuellement la région (par défaut, NA) et le format de durée de la plage (par exemple, PT21 H pour les 21 dernières heures). La plage par défaut est de 0 heure et la durée maximale est de 90 jours. Une fois que vous avez créé et activé le pipeline, les données du journal d' PingOne audit commencent à circuler vers le groupe de CloudWatch journaux de journaux sélectionné.
Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les PingOne événements liés au changement de compte (3001), à l'authentification (3002) et à la gestion des entités (3004).
Le changement de compte contient les événements suivants :
UTILISATEUR.CRÉÉ
UTILISATEUR.INVITÉ
UTILISATEUR.REINVITED
UTILISATEUR.INVITE_ACCEPTED
MOT DE PASSE.FORCE_CHANGE
MOT DE PASSE.RECOVERY
MOT DE PASSE.RESET
USER.INVITE_REVOKED
UTILISATEUR.SUPPRIMÉ
UTILISATEUR.LOCKED
MFA_SETTINGS.UPDATED
MOT DE PASSE.DÉVERROUILLÉ
UTILISATEUR.DÉBLOQUÉ
L'authentification contient les événements suivants :
AUTHENTIFICATION.CRÉÉ
RADIUS_SESSION.CREATED
SESSION CRÉÉE
SESSION.MISE À JOUR
SESSION.SUPPRIMÉ
UTILISATEUR.SLO_FAILURE
USER.SLO_PARTIAL_LOGOUT
UTILISATEUR.SLO_REQUESTED
UTILISATEUR.SLO_SUCCESS
USER.KERBEROS_FAILED
USER.KERBEROS_SUCCEEDED
DEVICE.ACTIVATION_OTP_FAILED
DEVICE.ACTIVATION_OTP_INVALID
DEVICE_PAYLOAD.CHECK_INVALID
DEVICE_PAYLOAD.CHECK_SUCCESS
OTP.CHECK_FAILED
OTP.CHECK_INVALID
OTP.CHECK_SUCCESS
MOT DE PASSE.CHECK_FAILED
MOT DE PASSE.CHECK_SUCCEEDED
La gestion des entités contient les événements suivants :
ACTION.CRÉÉ
ACCORD.CRÉÉ
AGREEMENT_LANGUAGE.CREATED
AGREEMENT_LANGUAGE_REVISION.CREATED
APPLICATION.CRÉÉE
AUTHORIZE_POLICY.CREATED
CERTIFICAT.CRÉÉ
APPAREIL.CRÉÉ
DEVICE_AUTHENTICATION_POLICY.CREATED
FIDO_POLICY.CREATED
FLOW.CREATED
FLOW_DEFINITION.CREATED
FLOW_EXECUTION.CRÉÉ
GROUPE.CRÉÉ
IDENTITY_PROVIDER.CREATED
IDP_ATTRIBUTE.CRÉÉ
INSTANT_MESSAGING_DELIVERY_SETTINGS.CREATED
CLÉ CRÉÉE
LICENCE CRÉÉE
NOTIFICATION.CRÉÉE
NOTIFICATION_POLICY.CREATED
ORGANISATION.CRÉÉE
POLITIQUE.CRÉÉ
RISK_POLICY_SET.CREATED
SAML_ATTRIBUTE.CREATED
SCHEMA_ATTRIBUTE.CRÉÉ
SIGN_ON_POLICY_ASSIGNMENT.CREATED
VERIFY_POLICY.CREATED
CERTIFICAT.READ
KEY.READ
SECRET.READ
ACTION.MIS À JOUR
ADMIN_CONFIGURATION.MISE À JOUR
ACCORD.MIS À JOUR
AGREEMENT_LANGUAGE.MIS À JOUR
AGREEMENT_LANGUAGE_REVISION.UPDATED
APPLICATION.MISE À JOUR
AUTHORIZE_POLICY.MIS À JOUR
CERTIFICAT.MIS À JOUR
NOM_SURNOM DE L'APPAREIL MIS À JOUR
APPAREIL.MIS À JOUR
DEVICE_AUTHENTICATION_POLICY.MISE À JOUR
FIDO_POLICY.MIS À JOUR
FLOW.UPDATED
FLOW_DEFINITION.UPDATED
FLOW_EXECUTION.MIS À JOUR
GROUP.MIS À JOUR
IDENTITY_PROVIDER.MIS À JOUR
IDP_ATTRIBUTE.MIS À JOUR
INSTANT_MESSAGING_DELIVERY_SETTINGS.UPDATED
CLÉ.MISE À JOUR
LICENCE .MISE À JOUR
NOTIFICATION.MISE À JOUR
NOTIFICATION_POLICY.MISE À JOUR
NOTIFICATIONS_SETTINGS.MIS À JOUR
ORGANISATION.MIS À JOUR
POLITIQUE.MISE À JOUR
RISK_POLICY_SET.ORDER_UPDATED
RISK_POLICY_SET.MIS À JOUR
SAML_ATTRIBUTE.MIS À JOUR
SCHEMA_ATTRIBUTE.MIS À JOUR
SECRET.MIS À JOUR
PARAMÈTRES.MIS À JOUR
SIGN_ON_POLICY_ASSIGNMENT.UPDATED
USER.QUOTA_RESET
UTILISATEUR.MIS À JOUR
VERIFY_POLICY.UPDATED
ACTION.SUPPRIMÉ
ACCORD.SUPPRIMÉ
AGREEMENT_LANGUAGE.SUPPRIMÉ
AGREEMENT_LANGUAGE_REVISION.SUPPRIMÉ
APPLICATION.SUPPRIMÉE
AUTHORIZE_POLICY.SUPPRIMÉ
CERTIFICAT.SUPPRIMÉ
APPAREIL.SUPPRIMÉ
DEVICE_AUTHENTICATION_POLICY.SUPPRIMÉ
FIDO_POLICY.SUPPRIMÉ
FLOW.SUPPRIMÉ
FLOW_DEFINITION.SUPPRIMÉ
GROUPE.SUPPRIMÉ
IDENTITY_PROVIDER.SUPPRIMÉ
IDP_ATTRIBUTE.SUPPRIMÉ
INSTANT_MESSAGING_DELIVERY_SETTINGS.SUPPRIMÉ
CLÉ.SUPPRIMÉ
LICENCE SUPPRIMÉE
NOTIFICATION_POLICY.SUPPRIMÉ
ORGANISATION.SUPPRIMÉ
POLITIQUE.SUPPRIMÉ
RISK_POLICY_SET.SUPPRIMÉ
SAML_ATTRIBUTE.SUPPRIMÉ
SCHEMA_ATTRIBUTE.SUPPRIMÉ
SIGN_ON_POLICY_ASSIGNMENT.SUPPRIMÉ
VERIFY_POLICY.SUPPRIMÉ
APPAREIL.DÉBLOQUÉ
APPAREIL.BLOQUÉ
NOTIFICATION. REJETÉE
APPAREIL.ACTIVÉ
APPAREIL VERROUILLÉ
APPAREIL.DÉVERROUILLÉ
ROLE.CREATED
ROLE.UPDATED
ROLE.SUPPRIMÉ
