View a markdown version of this page

Konfigurasi sumber untuk Microsoft Entra ID - Amazon CloudWatch
Integrasi dengan Microsoft Entra IDMengautentikasi dengan Microsoft Entra IDMengkonfigurasi Pipeline CloudWatchKelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi sumber untuk Microsoft Entra ID

Integrasi dengan Microsoft Entra ID

Microsoft Entra ID (sebelumnya Azure Active Directory) adalah layanan manajemen identitas dan akses berbasis cloud Microsoft yang membantu organisasi mengelola identitas pengguna dan mengamankan akses ke sumber daya. CloudWatch Pipeline menggunakan Microsoft Graph API untuk mengambil informasi identitas dan keamanan yang komprehensif dari log audit Microsoft Entra ID. Microsoft Graph API menyediakan akses ke tiga jenis log utama: Log Audit Direktori (melacak perubahan tingkat direktori dan tindakan administratif), Log Masuk (menangkap peristiwa dan aktivitas otentikasi pengguna), dan Log Penyediaan (memantau operasi penyediaan pengguna dan grup).

Mengautentikasi dengan Microsoft Entra ID

Untuk mengambil Audit Logs EntrAid, pipeline perlu mengautentikasi dengan akun Anda. Plugin ini mendukung OAuth2 otentikasi. Ikuti instruksi di Microsoft Graph APIs dan harus memiliki lisensi Microsoft Entra ID P1 atau P2.

  • Daftarkan aplikasi di Azure dengan tipe akun yang didukung, Akun di direktori organisasi ini saja (Penyewa tunggal). Setelah pendaftaran selesai, catat ID Aplikasi (klien) dan ID Direktori (penyewa).

  • Hasilkan kunci baru untuk aplikasi Anda. Kunci juga dikenal sebagai rahasia klien, yang digunakan saat menukar kode otorisasi untuk token akses.

  • Di AWS Secrets Manager, buat rahasia dan simpan ID Aplikasi (klien) di bawah kunci client_id dan rahasia klien di bawah kunci client_secret

  • Tentukan izin yang diperlukan aplikasi Anda untuk mengakses Microsoft Graph APIs. Izin yang Anda butuhkan adalah:

    • AuditLog.Read.All: Diperlukan untuk membaca log audit, log masuk, dan log penyediaan

    • Directory.Read.All: Diperlukan untuk membaca data direktori

Mengkonfigurasi Pipeline CloudWatch

Saat mengonfigurasi pipeline untuk membaca Log Audit dari Microsoft EntrAid, pilih Microsoft EntrAid sebagai sumber data. Isi informasi yang diperlukan seperti ID Penyewa menggunakan ID Direktori (penyewa). Setelah Anda membuat pipeline, data akan tersedia di grup CloudWatch log Log yang dipilih.

Kelas Acara Kerangka Kerja Skema Keamanan Siber Terbuka yang Didukung

Integrasi ini mendukung skema OCSF versi v1.5.0 dan peristiwa Entra ID yang dipetakan ke Otentikasi (3002), Perubahan Akun (3001), Manajemen Akses Pengguna (3005), dan Manajemen Entitas (3004).

Otentikasi berisi peristiwa berikut dengan tipe tanda kurung:

  • Nama Pengguna atau Kata Sandi Tidak Valid (Masuk)

  • Auth Kuat Pengguna ClientAuth N Interupsi yang Diperlukan (Masuk)

  • Melewati Kesalahan Mfa Pengguna (Masuk)

  • Otentikasi Gagal Selama Auth Kuat (Masuk)

Perubahan Akun berisi peristiwa berikut dengan tipe tanda kurung:

  • Tambahkan pengguna (Audit)

  • Perbarui pengguna (Audit)

  • Hapus pengguna (Audit)

  • Pengguna hapus keras (Audit)

  • Setel ulang kata sandi (Audit)

  • Pengguna mengubah info keamanan default (Audit)

  • Aktifkan Otentikasi Kuat (Audit)

  • Nonaktifkan Otentikasi Kuat (Audit)

User Access Management berisi peristiwa berikut dengan tipe tanda kurung:

  • Tambahkan anggota yang memenuhi syarat ke peran (Audit)

  • Hapus anggota yang memenuhi syarat dari peran (Audit)

  • Menambahkan anggota yang memenuhi syarat ke peran dalam PIM selesai (Audit)

  • Menghapus anggota yang memenuhi syarat dari peran dalam PIM selesai (Audit)

  • Tambahkan anggota ke peran (Audit)

  • Hapus anggota dari peran (Audit)

  • Hapus penugasan peran langsung permanen (Audit)

  • Tambahkan penugasan peran langsung permanen (Audit)

  • Peringatan PIM yang dipicu (Audit)

  • Tambahkan hibah izin yang didelegasikan (Audit)

  • Hapus hibah izin yang didelegasikan (Audit)

Manajemen Entitas berisi peristiwa berikut dengan tipe tanda kurung:

  • Create (Provisioning)

  • Pembaruan (Penyediaan)

  • Tambahkan penetapan peran aplikasi ke kepala layanan (Audit)

  • Hapus penetapan peran aplikasi ke kepala layanan (Audit)

  • Tambahkan kredensi utama layanan (Audit)

  • Hapus kredensi utama layanan (Audit)

  • Perbarui prinsip layanan (Audit)

  • Tambahkan prinsipal layanan (Audit)

  • Prinsipal layanan penghapusan keras (Audit)

  • Hapus prinsip layanan (Audit)

  • Persetujuan untuk aplikasi (Audit)

  • Tambahkan aplikasi (Audit)

  • Tambahkan pemilik ke aplikasi (Audit)

  • Aplikasi Hard Delete (Audit)

  • Hapus aplikasi (Audit)

  • Perbarui aplikasi (Audit)

  • Perbarui aplikasi - Sertifikat dan manajemen rahasia (Audit)

  • Tambahkan perangkat (Audit)

  • Perbarui perangkat (Audit)

  • Hapus perangkat (Audit)

  • Perangkat hapus keras (Audit)

Tampilkan lebih banyakTampilkan lebih sedikit