PingOne
编辑PingOne
编辑概述
编辑PingOne 集成允许您监控审计活动。PingOne 是一个基于云的安全身份访问管理框架。
使用 PingOne 集成从 REST API 或 HTTP 端点输入收集和解析数据。然后,在 Kibana 中可视化这些数据。
例如,您可以使用此集成中的数据来了解针对定义的 PingOne 资源执行了哪些操作或活动,并跟踪发起操作的行为者或代理。
数据流
编辑PingOne 集成收集一种事件类型的日志:审计。
审计 报告将传入的审计消息存储在缓存中,并提供用于请求特定时间段内的审计事件的端点。
要求
编辑您需要 Elasticsearch 来存储和搜索数据,以及 Kibana 来可视化和管理数据。您可以使用我们在 Elastic Cloud 上托管的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
此模块已针对 PingOne API 版本 1.0 进行测试。
设置
编辑要从 PingOne REST API 收集数据,请按照以下步骤操作
编辑在 PingOne 中创建一个工作程序应用程序,并复制凭据,如下所示
- 转到 pingidentity.com,单击 登录 并执行任何必要的身份验证步骤。您将到达 PingIdentity 控制台。
- 从导航侧边栏中,展开 应用程序 部分,然后选择 应用程序。
- 单击 + 开始创建新的应用程序。
- 输入一个 应用程序名称。
- 选择 工作程序 作为应用程序类型。
- 单击 保存。
- 在应用程序弹出窗口中,确保标头中的切换开关已激活,以便启用该应用程序。
- 选择应用程序弹出窗口的 角色 选项卡。
- 单击 授予角色 按钮。
- 在 可用职责 下的 环境管理员 部分中,选择要授予访问权限的环境,然后单击 保存。
- 选择应用程序弹出窗口的 配置 选项卡。
- 展开 URL 部分,并复制 令牌端点。
- 从 常规 部分,复制 客户端 ID、客户端密钥 和 环境 ID。
有关更多信息,请参阅有关 添加应用程序 的 PingOne 文档。
在 Elastic 中,导航到 PingOne 集成,然后
- 单击 添加 PingOne。
- 停用 通过 HTTP 端点收集 PingOne 日志 输入。
- 激活 通过 API 收集 PingOne 日志 输入。
- 在 URL 字段中输入您所在区域的 PingOne API URL。
- 将从 PingOne 控制台复制的凭据输入到相应的字段中。
- 在 审计日志 数据流部分中,设置不超过 2 年的 初始间隔。
- 选择要将集成添加到的代理策略,然后单击 保存并继续。
要通过 HTTP 端点从 PingOne 收集数据,请按照以下步骤操作
编辑在 Elastic 中,导航到 PingOne 集成,然后
- 单击 添加 PingOne。
- 停用 通过 API 收集 PingOne 日志 输入。
- 激活 通过 HTTP 端点收集 PingOne 日志 输入。
- 设置 侦听地址,并(从 审计日志 数据流设置中)设置并复制 侦听端口 以及(在 高级选项 下)URL 路径。
- 在输入设置中,输入适用于端点的任何 SSL 配置 和 密钥标头 设置。请记下这些详细信息,以便在配置 PingOne Webhook 时使用。注意:此端点会将端口暴露给 Internet,因此建议配置适当的网络访问权限。PingOne Webhook 只能与
https://目标 URL 一起使用。 - 选择要将集成添加到的代理策略,然后单击 保存并继续。
在 PingOne 中创建一个 Webhook,如下所示
- 转到 pingidentity.com,单击 登录 并执行任何必要的身份验证步骤。您将到达 PingIdentity 控制台。
- 从导航侧边栏中,展开 集成 部分,然后选择 Webhook。
- 单击 + 添加 Webhook 按钮开始创建新的 Webhook。
- 在 目标 URL 中,输入完整的端点 URL,包括端口。示例格式:
https://{外部_代理_侦听_地址}:{代理_侦听_端口}/{URL_路径}。 - 作为 格式,选择 Ping 活动格式 (JSON)。
- 在 筛选器 部分中,选择您要收集的所有 事件类型。
- 输入 Webhook 与代理的 HTTP 端点建立连接所需的任何 TLS 设置 和 标头。
- 单击 保存。
- 确保激活 Webhook 的切换开关,以便启用 Webhook。
有关更多信息,请参阅有关 创建或编辑 Webhook 的 PingOne 文档。
日志参考
编辑审计
编辑这是 audit 数据集。
示例
audit 的示例事件如下所示
{
"@timestamp": "2022-08-08T15:31:08.237Z",
"agent": {
"ephemeral_id": "e4d8fc8f-71fa-4e20-bd11-1c06f2e1d137",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"client": {
"user": {
"id": "123abc123-12ab-1234-1abc-abc123abc12",
"name": "PingOne Admin Console"
}
},
"data_stream": {
"dataset": "ping_one.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "user.access_allowed",
"agent_id_status": "verified",
"category": [
"iam",
"configuration"
],
"dataset": "ping_one.audit",
"id": "123abc123-12ab-1234-1abc-abc123abc12",
"ingested": "2023-09-22T17:21:19Z",
"kind": "event",
"original": "{\"_embedded\":{},\"action\":{\"type\":\"USER.ACCESS_ALLOWED\"},\"actors\":{\"client\":{\"environment\":{\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\"},\"href\":\"https://api.pingone.asia/v1/environments/123abc123-12ab-1234-1abc-abc123abc12/applications/123abc123-12ab-1234-1abc-abc123abc12\",\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\",\"name\":\"PingOne Admin Console\",\"type\":\"CLIENT\"},\"user\":{\"environment\":{\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\"},\"href\":\"https://api.pingone.asia/v1/environments/123abc123-12ab-1234-1abc-abc123abc12/users/123abc123-12ab-1234-1abc-abc123abc12\",\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\",\"name\":\"[email protected]\",\"population\":{\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\"},\"type\":\"USER\"}},\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\",\"recordedAt\":\"2022-08-08T15:31:08.237Z\",\"resources\":[{\"environment\":{\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\"},\"href\":\"https://api.pingone.asia/v1/environments/123abc123-12ab-1234-1abc-abc123abc12/users/123abc123-12ab-1234-1abc-abc123abc12\",\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\",\"name\":\"[email protected]\",\"population\":{\"id\":\"123abc123-12ab-1234-1abc-abc123abc12\"},\"type\":\"USER\"}],\"result\":{\"description\":\"Passed role access control\",\"status\":\"SUCCESS\"}}",
"outcome": "success",
"type": [
"user",
"info",
"access"
]
},
"input": {
"type": "http_endpoint"
},
"ping_one": {
"audit": {
"action": {
"type": "USER.ACCESS_ALLOWED"
},
"actors": {
"client": {
"environment": {
"id": "123abc123-12ab-1234-1abc-abc123abc12"
},
"href": "https://api.pingone.asia/v1/environments/123abc123-12ab-1234-1abc-abc123abc12/applications/123abc123-12ab-1234-1abc-abc123abc12",
"id": "123abc123-12ab-1234-1abc-abc123abc12",
"name": "PingOne Admin Console",
"type": "CLIENT"
},
"user": {
"environment": {
"id": "123abc123-12ab-1234-1abc-abc123abc12"
},
"href": "https://api.pingone.asia/v1/environments/123abc123-12ab-1234-1abc-abc123abc12/users/123abc123-12ab-1234-1abc-abc123abc12",
"id": "123abc123-12ab-1234-1abc-abc123abc12",
"name": "[email protected]",
"population": {
"id": "123abc123-12ab-1234-1abc-abc123abc12"
},
"type": "USER"
}
},
"id": "123abc123-12ab-1234-1abc-abc123abc12",
"recorded_at": "2022-08-08T15:31:08.237Z",
"resources": [
{
"environment": {
"id": "123abc123-12ab-1234-1abc-abc123abc12"
},
"href": "https://api.pingone.asia/v1/environments/123abc123-12ab-1234-1abc-abc123abc12/users/123abc123-12ab-1234-1abc-abc123abc12",
"id": "123abc123-12ab-1234-1abc-abc123abc12",
"name": "[email protected]",
"population": {
"id": "123abc123-12ab-1234-1abc-abc123abc12"
},
"type": "USER"
}
],
"result": {
"description": "Passed role access control",
"status": "SUCCESS"
}
}
},
"related": {
"user": [
"123abc123-12ab-1234-1abc-abc123abc12",
"PingOne Admin Console",
"[email protected]"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"ping_one-audit"
],
"url": {
"domain": "api.pingone.asia",
"original": "https://api.pingone.asia/v1/environments/123abc123-12ab-1234-1abc-abc123abc12/users/123abc123-12ab-1234-1abc-abc123abc12",
"path": "/v1/environments/123abc123-12ab-1234-1abc-abc123abc12/users/123abc123-12ab-1234-1abc-abc123abc12",
"scheme": "https"
},
"user": {
"id": "123abc123-12ab-1234-1abc-abc123abc12",
"name": "[email protected]"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
event.dataset |
事件数据集。 |
常量关键字 |
event.module |
事件模块。 |
常量关键字 |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
ping_one.audit.action.description |
一个字符串,指定执行的操作的描述。 |
文本 |
ping_one.audit.action.type |
一个字符串,指定执行的操作类型(例如身份验证或密码重置)。 |
关键字 |
ping_one.audit.actors.client.environment.id |
一个字符串,指定与客户端关联的环境资源的 ID。 |
关键字 |
ping_one.audit.actors.client.href |
一个字符串,指定指定客户端资源的 URL。 |
关键字 |
ping_one.audit.actors.client.id |
一个字符串,指定客户端的 ID。 |
关键字 |
ping_one.audit.actors.client.name |
一个字符串,指定为 PingOne 登录分配给客户端的名称。 |
关键字 |
ping_one.audit.actors.client.type |
一个字符串,指定行为者的类型。选项为 USER 或 CLIENT。 |
关键字 |
ping_one.audit.actors.user.environment.id |
一个字符串,指定与用户关联的环境资源的 ID。 |
关键字 |
ping_one.audit.actors.user.href |
一个字符串,指定指定用户资源的 URL。 |
关键字 |
ping_one.audit.actors.user.id |
一个字符串,指定用户的 ID。 |
关键字 |
ping_one.audit.actors.user.name |
一个字符串,指定为 PingOne 登录分配给用户的名称。 |
关键字 |
ping_one.audit.actors.user.population.id |
一个字符串,指定与用户关联的群体资源的 ID。 |
关键字 |
ping_one.audit.actors.user.type |
一个字符串,指定行为者的类型。选项为 USER 或 CLIENT。 |
关键字 |
ping_one.audit.correlation.id |
一个字符串,指定事务中多个消息的 PingOne 标识符。 |
关键字 |
ping_one.audit.created_at |
创建事件的日期和时间 (ISO 8601 格式)。 |
日期 |
ping_one.audit.embedded |
已展平 |
|
ping_one.audit.id |
一个字符串,指定审计活动事件的 ID。 |
关键字 |
ping_one.audit.recorded_at |
记录事件的日期和时间 (ISO 8601 格式)。 |
日期 |
ping_one.audit.resources.environment.id |
分配为环境资源键的 UUID。 |
关键字 |
ping_one.audit.resources.href |
一个字符串,指定指定资源的 URL。 |
关键字 |
ping_one.audit.resources.id |
一个字符串,指定分配为标识符资源(例如环境、群体或事件消息)的键的 ID。 |
关键字 |
ping_one.audit.resources.name |
一个字符串,可以是用户名或环境名称,具体取决于资源类型。 |
关键字 |
ping_one.audit.resources.population.id |
分配为群体资源键的 UUID。 |
关键字 |
ping_one.audit.resources.type |
一个字符串,指定与事件关联的资源类型。选项为 USER、ORGANIZATION 或 ENVIRONMENT。 |
关键字 |
ping_one.audit.result.description |
一个字符串,指定操作结果的描述。 |
文本 |
ping_one.audit.result.id |
一个字符串,指定操作结果的 ID。 |
关键字 |
ping_one.audit.result.status |
一个字符串,指定操作的结果。选项为 succeeded 或 failed。 |
关键字 |
ping_one.audit.tags |
一个字符串,将活动标识为管理员对其他管理员的操作。 |
关键字 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.18.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.14.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.13.2 |
错误修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
0.3.1 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |