View a markdown version of this page

Microsoft Entra ID のソース設定 - Amazon CloudWatch
Microsoft Entra ID との統合Microsoft Entra ID を使用した認証CloudWatch パイプラインの設定サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

Microsoft Entra ID のソース設定

Microsoft Entra ID との統合

Microsoft Entra ID (旧 Azure Active Directory) は、Microsoft のクラウドベースの ID およびアクセス管理サービスであり、組織がユーザー ID を管理し、リソースへのアクセスを保護するのに役立ちます。CloudWatch パイプラインは、Microsoft Graph API を使用して、Microsoft Entra ID 監査ログから包括的な ID およびセキュリティ情報を取得します。Microsoft Graph API では、ディレクトリ監査ログ (ディレクトリレベルの変更と管理アクションの追跡)、サインインログ (ユーザー認証イベントとアクティビティのキャプチャ)、プロビジョニングログ (ユーザーとグループのプロビジョニングオペレーションのモニタリング) の 3 つの主要なログタイプにアクセスできます。

Microsoft Entra ID を使用した認証

監査ログ EntraID を取得するには、パイプラインがアカウントで認証する必要があります。プラグインは OAuth2 認証をサポートしています。Microsoft Graph API の手順に従います。Microsoft Entra ID P1 または P2 ライセンスが必要です。

  • Azure でアプリケーションをサポートされているアカウントタイプに登録します。この組織ディレクトリのアカウントのみ (単一テナント)。登録が完了したら、アプリケーション (クライアント) ID とディレクトリ (テナント) ID を書き留めます。

  • アプリケーションの新しいキーを生成します。キーはクライアントシークレットとも呼ばれ、アクセストークンの認可コードを交換するときに使用されます。

  • AWS Secrets Manager でシークレットを作成し、アプリケーション (クライアント) ID を client_id キーの下に、クライアントシークレットを client_secret キーの下に保存します。

  • アプリケーションが Microsoft Graph API にアクセスするために必要なアクセス許可を指定します。必要なアクセス許可は次のとおりです。

    • AuditLog.Read.All: 監査ログ、サインインログ、プロビジョニングログの読み取りに必要です

    • Directory.Read.All: ディレクトリデータの読み取りに必要です

CloudWatch パイプラインの設定

Microsoft EntraID から監査ログを読み取るようにパイプラインを設定するときは、データソースとして Microsoft EntraID を選択します。ディレクトリ (テナント) ID を使用してテナント ID などの必要な情報を入力します。パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

この統合は、認証 (3002)、アカウント変更 (3001)、ユーザーアクセス管理 (3005)、エンティティ管理 (3004) にマッピングする OCSF スキーマのバージョン v1.5.0 および Entra ID イベントをサポートします。

認証には、次のイベントが含まれます。括弧内にタイプを示します。

  • ユーザー名またはパスワードが無効 (サインイン)

  • ユーザーの強力な認証に ClientAuthN が必須で中断 (サインイン)

  • パススルーユーザー Mfa エラー (サインイン)

  • 強力な認証中に認証が失敗 (サインイン)

アカウント変更には、次のイベントが含まれます。括弧内にタイプを示します。

  • ユーザーの追加 (監査)

  • ユーザーの更新 (監査)

  • ユーザーの削除 (監査)

  • ユーザーのハード削除 (監査)

  • パスワードのリセット (監査)

  • ユーザーがデフォルトのセキュリティ情報を変更 (監査)

  • 強力な認証の有効化 (監査)

  • 強力な認証の無効化 (監査)

ユーザーアクセス管理には、次のイベントが含まれます。括弧にタイプを示します。

  • ロールに適格なメンバーを追加 (監査)

  • ロールから適格なメンバーを削除 (監査)

  • 完了した PIM のロールに適格なメンバーを追加 (監査)

  • 完了した PIM のロールから適格なメンバーを削除 (監査)

  • ロールにメンバーを追加 (監査)

  • ロールからメンバーを削除 (監査)

  • 永続的な直接ロール割り当てを削除 (監査)

  • 永続的な直接ロール割り当てを追加 (監査)

  • トリガーされた PIM アラート (監査)

  • 委任されたアクセス許可の付与を追加 (監査)

  • 委任されたアクセス許可の付与を削除 (監査)

エンティティ管理には、次のイベントが含まれます。括弧内にタイプを示します。

  • 作成 (プロビジョニング)

  • 更新 (プロビジョニング)

  • サービスプリンシパルにアプリケーションロールの割り当てを追加 (監査)

  • サービスプリンシパルへのアプリケーションロールの割り当てを削除 (監査)

  • サービスプリンシパル認証情報を追加 (監査)

  • サービスプリンシパル認証情報を削除 (監査)

  • サービスプリンシパルの更新 (監査)

  • サービスプリンシパルの追加 (監査)

  • サービスプリンシパルのハード削除 (監査)

  • サービスプリンシパルの削除 (監査)

  • アプリケーションへの同意 (監査)

  • アプリケーションの追加 (監査)

  • オーナーをアプリケーションに追加 (監査)

  • アプリケーションのハード削除 (監査)

  • アプリケーションの削除 (監査)

  • アプリケーションの更新 (監査)

  • アプリケーションの更新 – 証明書とシークレットの管理 (監査)

  • デバイスの追加 (監査)

  • デバイスの更新 (監査)

  • デバイスの削除 (監査)

  • デバイスのハード削除 (監査)

表示を増やす表示を減らす