View a markdown version of this page

Configuración del origen para Microsoft Entra ID - Amazon CloudWatch
Integración con Microsoft Entra IDAutenticación con Microsoft Entra IDConfiguración de la canalización de CloudWatchClases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración del origen para Microsoft Entra ID

Integración con Microsoft Entra ID

Microsoft Entra ID (anteriormente Azure Active Directory) es el servicio de administración de identidad y acceso basado en la nube de Microsoft que ayuda a las organizaciones a administrar las identidades de los usuarios y proteger el acceso a los recursos. La canalización de CloudWatch utiliza la API de Microsoft Graph para recuperar información completa de identidad y seguridad de los registros de auditoría de Microsoft Entra ID. La API de Microsoft Graph proporciona acceso a tres tipos de registros principales: registros de auditoría de directorios (que hacen un seguimiento de los cambios y las acciones administrativas del directorio), registros de inicio de sesión (que capturan eventos y actividades de autenticación de usuarios) y registros de aprovisionamiento (que supervisan las operaciones de aprovisionamiento de usuarios y grupos).

Autenticación con Microsoft Entra ID

Para recuperar registros de auditoría de Entra ID, las canalizaciones deben autenticarse con su cuenta. El complemento es compatible con la autenticación OAuth2. Siga las instrucciones de las API de Microsoft Graph. Debe tener la licencia Microsoft Entra ID P1 o P2.

  • Registre una aplicación en Azure con los tipos de cuentas compatibles, solo las cuentas de este directorio organizativo (inquilino único). Una vez finalizado el registro, anote el ID de aplicación (cliente) y el ID de directorio (inquilino).

  • Genere una nueva clave para la aplicación. La clave también se conoce como secreto de cliente, que se usa cuando se intercambia un código de autorización por un token de acceso.

  • En AWS Secrets Manager, cree un secreto y almacene el ID de aplicación (cliente) en la clave client_id y el secreto de cliente en la clave client_secret.

  • Especifique los permisos que requiere la aplicación para acceder a las API de Microsoft Graph. Los permisos que necesita son los siguientes:

    • AuditLog.Read.All: obligatorio para leer registros de auditoría, registros de inicio de sesión y registros de aprovisionamiento

    • Directory.Read.All: obligatorio para leer datos del directorio

Configuración de la canalización de CloudWatch

Al configurar la canalización para leer registros de auditoría de Microsoft Entra ID, elija Microsoft EntraID como origen de datos. Rellene la información obligatoria, como el ID de inquilino, con el ID de directorio (inquilino). Una vez que haya creado la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y los eventos de Entra ID que se asignan a la autenticación (3002), el cambio de cuentas (3001), la administración de acceso de usuarios (3005) y la administración de entidades (3004).

La autenticación contiene los siguientes eventos con el tipo que se indica entre paréntesis:

  • Nombre de usuario o contraseña no válidos (inicio de sesión)

  • Interrupción obligatoria de ClientAuthN de autenticación segura de usuario (inicio de sesión)

  • Error al superar la MFA del usuario (inicio de sesión)

  • La autenticación falló durante la autenticación segura (inicio de sesión)

El cambio de cuentas contiene los siguientes eventos con los tipos entre paréntesis:

  • Agregar usuario (auditoría)

  • Actualizar usuario (auditoría)

  • Eliminar usuario (auditoría)

  • Eliminar un usuario de forma definitiva (auditoría)

  • Restablecer contraseña (auditoría)

  • El usuario cambió información de seguridad predeterminada (auditoría)

  • Activar autenticación segura (auditoría)

  • Desactivar autenticación segura (auditoría)

La administración de acceso de usuarios contiene los siguientes eventos con los tipos entre paréntesis:

  • Agregar miembro elegible al rol (auditoría)

  • Eliminar miembro elegible del rol (auditoría)

  • Se completó la acción de agregar un miembro elegible al rol de PIM (auditoría)

  • Se completó la acción de eliminar un miembro elegible del rol de PIM (auditoría)

  • Agregar miembro al rol (auditoría)

  • Eliminar miembro del rol (auditoría)

  • Eliminar asignación directa permanente del rol (auditoría)

  • Agregar asignación directa permanente al rol (auditoría)

  • Alerta de PIM activada (auditoría)

  • Agregar concesión de permisos delegados (auditoría)

  • Eliminar concesión de permisos delegados (auditoría)

La administración de entidades contiene los siguientes eventos con los tipos entre paréntesis:

  • Crear (aprovisionamiento)

  • Actualizar (aprovisionamiento)

  • Agregar asignación de roles de aplicación a la entidad principal del servicio (auditoría)

  • Eliminar asignación de roles de aplicación de la entidad principal del servicio (auditoría)

  • Agregar credenciales de la entidad principal del servicio (auditoría)

  • Eliminar credenciales de la entidad principal del servicio (auditoría)

  • Actualizar entidad principal del servicio (auditoría)

  • Agregar entidad principal del servicio (auditoría)

  • Eliminar entidad principal del servicio de forma definitiva (auditoría)

  • Eliminar entidad principal del servicio (auditoría)

  • Consentir la aplicación (auditoría)

  • Agregar aplicación (auditoría)

  • Agregar propietario a la aplicación (auditoría)

  • Eliminar la aplicación de forma definitiva (auditoría)

  • Eliminar aplicación (auditoría)

  • Actualizar aplicación (auditoría)

  • Actualizar aplicación: administración de certificados y secretos (auditoría)

  • Agregar dispositivo (auditoría)

  • Actualizar dispositivo (auditoría)

  • Eliminar dispositivo (auditoría)

  • Eliminar dispositivo de forma definitiva (auditoría)

Mostrar másMostrar menos