本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Microsoft Entra ID 的來源組態
與 Microsoft Entra ID 整合
Microsoft Entra ID (先前稱為 Azure Active Directory) 是 Microsoft 的雲端型身分和存取管理服務,可協助組織管理使用者身分和安全存取 資源。CloudWatch Pipeline 使用 Microsoft Graph API 從 Microsoft Entra ID 稽核日誌中擷取完整的身分和安全資訊。Microsoft Graph API 可讓您存取三種主要日誌類型:目錄稽核日誌 (追蹤目錄層級變更和管理動作)、登入日誌 (擷取使用者身分驗證事件和活動),以及佈建日誌 (監控使用者和群組佈建操作)。
使用 Microsoft Entra ID 驗證
若要擷取 Audit Logs EntraID,管道需要向您的帳戶進行身分驗證。外掛程式支援 OAuth2 身分驗證。請遵循 Microsoft 圖形 APIs中的指示,並應具有 Microsoft Entra ID P1 或 P2 授權。
在 Azure 中向支援的 帳戶類型註冊應用程式,僅限此組織目錄中的帳戶 (單一租戶)。註冊完成後,記下應用程式 (用戶端) ID 和目錄 (租戶) ID。
為您的應用程式產生新的金鑰。金鑰也稱為用戶端秘密,用於交換存取字符的授權碼。
在 中 AWS Secrets Manager,建立秘密,並將應用程式 (用戶端) ID 存放在金鑰下,
client_id並將用戶端秘密存放在金鑰下client_secret指定應用程式存取 Microsoft Graph APIs所需的許可。您需要的許可如下:
AuditLog.Read.All:讀取稽核日誌、登入日誌和佈建日誌時需要
Directory.Read.All:讀取目錄資料時需要
設定 CloudWatch 管道
設定管道從 Microsoft EntraID 讀取稽核日誌時,請選擇 Microsoft EntraID 做為資料來源。使用目錄 (租戶) ID 填寫必要資訊,例如租戶 ID。建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。
支援的開放式網路安全結構描述架構事件類別
此整合支援對應至身分驗證 (3002)、帳戶變更 (3001)、使用者存取管理 (3005) 和實體管理 (3004) 的 OCSF 結構描述版本 v1.5.0 和 Entra ID 事件。
身分驗證包含括號中具有 類型的下列事件:
無效的使用者名稱或密碼 (登入)
User Strong Auth ClientAuthN 必要中斷 (登入)
傳遞使用者 Mfa 錯誤 (登入)
在強式驗證期間驗證失敗 (登入)
帳戶變更包含括號中具有 類型的下列事件:
新增使用者 (稽核)
更新使用者 (稽核)
刪除使用者 (稽核)
硬刪除使用者 (稽核)
重設密碼 (稽核)
使用者已變更預設安全性資訊 (稽核)
啟用強式身分驗證 (稽核)
停用強式身分驗證 (稽核)
使用者存取管理包含括號中具有 類型的下列事件:
將合格成員新增至角色 (稽核)
從角色移除合格成員 (稽核)
在 PIM 已完成中將合格成員新增至角色 (稽核)
在 PIM 已完成中從角色移除合格成員 (稽核)
將成員新增至角色 (稽核)
從角色移除成員 (稽核)
移除永久直接角色指派 (稽核)
新增永久直接角色指派 (稽核)
觸發的 PIM 警示 (稽核)
新增委派許可授予 (稽核)
移除委派的許可授予 (稽核)
實體管理包含括號中具有 類型的下列事件:
建立 (佈建)
更新 (佈建)
將應用程式角色指派新增至服務主體 (稽核)
移除服務主體的應用程式角色指派 (稽核)
新增服務主體登入資料 (稽核)
移除服務主體憑證 (稽核)
更新服務主體 (稽核)
新增服務主體 (稽核)
硬刪除服務主體 (稽核)
移除服務主體 (稽核)
同意應用程式 (稽核)
新增應用程式 (稽核)
將擁有者新增至應用程式 (稽核)
硬刪除應用程式 (稽核)
刪除應用程式 (稽核)
更新應用程式 (稽核)
更新應用程式 – 憑證和秘密管理 (稽核)
新增裝置 (稽核)
更新裝置 (稽核)
刪除裝置 (稽核)
硬刪除裝置 (稽核)
