Integrar com o PingIdentity PingOne Autenticar no PingIdentity PingOne Configurar o CloudWatch Pipeline Classes de eventos do Open Cybersecurity Schema Framework compatíveis

configuração de fonte no PingIdentity PingOne

Integrar com o PingIdentity PingOne

O PingOne é a plataforma de identidade como serviço (IDaaS) baseada em nuvem da Ping Identity que fornece recursos de gerenciamento de identidade e acesso. O CloudWatch Pipeline usa a API Audit Logs do PingOne para recuperar informações sobre eventos de autenticação, atividades de usuários, decisões de políticas e mudanças administrativas em todo o ambiente do PingOne. A API Audit Logs permite acesso a dados de eventos por endpoints de REST, possibilitando a recuperação de logs de segurança e acesso da sua organização do PingOne.

Autenticar no PingIdentity PingOne

Para ler os logs, o pipeline precisa ser autenticado no ambiente do PingOne. No PingOne, a autenticação é realizada com o OAuth2.

Configurar a autenticação OAuth2 para o PingOne

Entre no console do PingOne e navegue até Aplicações → Aplicações. Crie uma nova aplicação do tipo Operador. Anote o ID do cliente e o ID do ambiente.
Gere um novo segredo do cliente na guia Configuração. Copie o segredo imediatamente.
No AWS Secrets Manager, crie um segredo e armazene o ID do cliente com a chave client_id e o segredo do cliente com a chave client_secret.
Atribua à aplicação os perfis de administrador do ambiente e de proprietário da aplicação.
Identifique sua região do PingOne (NA, UE, AP, AU, CA, SG).
Anote o ID do ambiente de Configurações → Ambiente → Propriedades.

Configurar o CloudWatch Pipeline

Para configurar o pipeline para ler logs, escolha o PingOne como a fonte de dados. Preencha as informações necessárias, como a ID do ambiente. Opcionalmente, especifique a região (o padrão é NA) e o formato de duração do intervalo (por exemplo, PT21H para as últimas 21 horas). O intervalo padrão é de 0 horas, e o máximo é de 90 dias. Depois que o pipeline é criado e ativado, os dados de log de auditoria do PingOne começam a fluir para o grupo de logs selecionado do CloudWatch Logs.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos do PingOne que são mapeados para Account Change (3001), Authentication (3002) e Entity Management (3004).

Account Change inclui os seguintes eventos:

USER.CREATED
USER.INVITED
USER.REINVITED
USER.INVITE_ACCEPTED
PASSWORD.FORCE_CHANGE
PASSWORD.RECOVERY
PASSWORD.RESET
USER.INVITE_REVOKED
USER.DELETED
USER.LOCKED
MFA_SETTINGS.UPDATED
PASSWORD.UNLOCKED
USER.UNLOCKED

Authentication inclui os seguintes eventos:

AUTHENTICATION.CREATED
RADIUS_SESSION.CREATED
SESSION.CREATED
SESSION.UPDATED
SESSION.DELETED
USER.SLO_FAILURE
USER.SLO_PARTIAL_LOGOUT
USER.SLO_REQUESTED
USER.SLO_SUCCESS
USER.KERBEROS_FAILED
USER.KERBEROS_SUCCEEDED
DEVICE.ACTIVATION_OTP_FAILED
DEVICE.ACTIVATION_OTP_INVALID
DEVICE_PAYLOAD.CHECK_INVALID
DEVICE_PAYLOAD.CHECK_SUCCESS
OTP.CHECK_FAILED
OTP.CHECK_INVALID
OTP.CHECK_SUCCESS
PASSWORD.CHECK_FAILED
PASSWORD.CHECK_SUCCEEDED

Entity Management inclui os seguintes eventos:

ACTION.CREATED
AGREEMENT.CREATED
AGREEMENT_LANGUAGE.CREATED
AGREEMENT_LANGUAGE_REVISION.CREATED
APPLICATION.CREATED
AUTHORIZE_POLICY.CREATED
CERTIFICATE.CREATED
DEVICE.CREATED
DEVICE_AUTHENTICATION_POLICY.CREATED
FIDO_POLICY.CREATED
FLOW.CREATED
FLOW_DEFINITION.CREATED
FLOW_EXECUTION.CREATED
GROUP.CREATED
IDENTITY_PROVIDER.CREATED
IDP_ATTRIBUTE.CREATED
INSTANT_MESSAGING_DELIVERY_SETTINGS.CREATED
KEY.CREATED
LICENSE.CREATED
NOTIFICATION.CREATED
NOTIFICATION_POLICY.CREATED
ORGANIZATION.CREATED
POLICY.CREATED
RISK_POLICY_SET.CREATED
SAML_ATTRIBUTE.CREATED
SCHEMA_ATTRIBUTE.CREATED
SIGN_ON_POLICY_ASSIGNMENT.CREATED
VERIFY_POLICY.CREATED
CERTIFICATE.READ
KEY.READ
SECRET.READ
ACTION.UPDATED
ADMIN_CONFIGURATION.UPDATED
AGREEMENT.UPDATED
AGREEMENT_LANGUAGE.UPDATED
AGREEMENT_LANGUAGE_REVISION.UPDATED
APPLICATION.UPDATED
AUTHORIZE_POLICY.UPDATED
CERTIFICATE.UPDATED
DEVICE.NICKNAME_UPDATED
DEVICE.UPDATED
DEVICE_AUTHENTICATION_POLICY.UPDATED
FIDO_POLICY.UPDATED
FLOW.UPDATED
FLOW_DEFINITION.UPDATED
FLOW_EXECUTION.UPDATED
GROUP.UPDATED
IDENTITY_PROVIDER.UPDATED
IDP_ATTRIBUTE.UPDATED
INSTANT_MESSAGING_DELIVERY_SETTINGS.UPDATED
KEY.UPDATED
LICENSE.UPDATED
NOTIFICATION.UPDATED
NOTIFICATION_POLICY.UPDATED
NOTIFICATIONS_SETTINGS.UPDATED
ORGANIZATION.UPDATED
POLICY.UPDATED
RISK_POLICY_SET.ORDER_UPDATED
RISK_POLICY_SET.UPDATED
SAML_ATTRIBUTE.UPDATED
SCHEMA_ATTRIBUTE.UPDATED
SECRET.UPDATED
SETTINGS.UPDATED
SIGN_ON_POLICY_ASSIGNMENT.UPDATED
USER.QUOTA_RESET
USER.UPDATED
VERIFY_POLICY.UPDATED
ACTION.DELETED
AGREEMENT.DELETED
AGREEMENT_LANGUAGE.DELETED
AGREEMENT_LANGUAGE_REVISION.DELETED
APPLICATION.DELETED
AUTHORIZE_POLICY.DELETED
CERTIFICATE.DELETED
DEVICE.DELETED
DEVICE_AUTHENTICATION_POLICY.DELETED
FIDO_POLICY.DELETED
FLOW.DELETED
FLOW_DEFINITION.DELETED
GROUP.DELETED
IDENTITY_PROVIDER.DELETED
IDP_ATTRIBUTE.DELETED
INSTANT_MESSAGING_DELIVERY_SETTINGS.DELETED
KEY.DELETED
LICENSE.DELETED
NOTIFICATION_POLICY.DELETED
ORGANIZATION.DELETED
POLICY.DELETED
RISK_POLICY_SET.DELETED
SAML_ATTRIBUTE.DELETED
SCHEMA_ATTRIBUTE.DELETED
SIGN_ON_POLICY_ASSIGNMENT.DELETED
VERIFY_POLICY.DELETED
DEVICE.UNBLOCKED
DEVICE.BLOCKED
NOTIFICATION.REJECTED
DEVICE.ACTIVATED
DEVICE.LOCKED
DEVICE.UNLOCKED
ROLE.CREATED
ROLE.UPDATED
ROLE.DELETED

Mostrar mais

Mostrar menos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

PingIdentity PingOne

Configuração do pipeline