# Microsoft Entra ID のソース設定
<a name="entraid-source-setup"></a>

## Microsoft Entra ID との統合
<a name="entraid-integration"></a>

Microsoft Entra ID (旧 Azure Active Directory) は、Microsoft のクラウドベースの ID およびアクセス管理サービスであり、組織がユーザー ID を管理し、リソースへのアクセスを保護するのに役立ちます。CloudWatch パイプラインは、Microsoft Graph API を使用して、Microsoft Entra ID 監査ログから包括的な ID およびセキュリティ情報を取得します。Microsoft Graph API では、ディレクトリ監査ログ (ディレクトリレベルの変更と管理アクションの追跡)、サインインログ (ユーザー認証イベントとアクティビティのキャプチャ)、プロビジョニングログ (ユーザーとグループのプロビジョニングオペレーションのモニタリング) の 3 つの主要なログタイプにアクセスできます。

## Microsoft Entra ID を使用した認証
<a name="entraid-authentication"></a>

監査ログ EntraID を取得するには、パイプラインがアカウントで認証する必要があります。プラグインは OAuth2 認証をサポートしています。Microsoft Graph API の手順に従います。Microsoft Entra ID P1 または P2 ライセンスが必要です。
+ Azure でアプリケーションをサポートされているアカウントタイプに登録します。この組織ディレクトリのアカウントのみ (単一テナント)。登録が完了したら、アプリケーション (クライアント) ID とディレクトリ (テナント) ID を書き留めます。
+ アプリケーションの新しいキーを生成します。キーはクライアントシークレットとも呼ばれ、アクセストークンの認可コードを交換するときに使用されます。
+ AWS Secrets Manager でシークレットを作成し、アプリケーション (クライアント) ID を `client_id` キーの下に、クライアントシークレットを `client_secret` キーの下に保存します。
+ アプリケーションが Microsoft Graph API にアクセスするために必要なアクセス許可を指定します。必要なアクセス許可は次のとおりです。
  + AuditLog.Read.All: 監査ログ、サインインログ、プロビジョニングログの読み取りに必要です
  + Directory.Read.All: ディレクトリデータの読み取りに必要です

## CloudWatch パイプラインの設定
<a name="entraid-pipeline-config"></a>

Microsoft EntraID から監査ログを読み取るようにパイプラインを設定するときは、データソースとして Microsoft EntraID を選択します。ディレクトリ (テナント) ID を使用してテナント ID などの必要な情報を入力します。パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

## サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス
<a name="entraid-ocsf-events"></a>

この統合は、認証 (3002)、アカウント変更 (3001)、ユーザーアクセス管理 (3005)、エンティティ管理 (3004) にマッピングする OCSF スキーマのバージョン v1.5.0 および Entra ID イベントをサポートします。

**認証**には、次のイベントが含まれます。括弧内にタイプを示します。
+ ユーザー名またはパスワードが無効 (サインイン)
+ ユーザーの強力な認証に ClientAuthN が必須で中断 (サインイン)
+ パススルーユーザー Mfa エラー (サインイン)
+ 強力な認証中に認証が失敗 (サインイン)

**アカウント変更**には、次のイベントが含まれます。括弧内にタイプを示します。
+ ユーザーの追加 (監査)
+ ユーザーの更新 (監査)
+ ユーザーの削除 (監査)
+ ユーザーのハード削除 (監査)
+ パスワードのリセット (監査)
+ ユーザーがデフォルトのセキュリティ情報を変更 (監査)
+ 強力な認証の有効化 (監査)
+ 強力な認証の無効化 (監査)

**ユーザーアクセス管理**には、次のイベントが含まれます。括弧にタイプを示します。
+ ロールに適格なメンバーを追加 (監査)
+ ロールから適格なメンバーを削除 (監査)
+ 完了した PIM のロールに適格なメンバーを追加 (監査)
+ 完了した PIM のロールから適格なメンバーを削除 (監査)
+ ロールにメンバーを追加 (監査)
+ ロールからメンバーを削除 (監査)
+ 永続的な直接ロール割り当てを削除 (監査)
+ 永続的な直接ロール割り当てを追加 (監査)
+ トリガーされた PIM アラート (監査)
+ 委任されたアクセス許可の付与を追加 (監査)
+ 委任されたアクセス許可の付与を削除 (監査)

**エンティティ管理**には、次のイベントが含まれます。括弧内にタイプを示します。
+ 作成 (プロビジョニング)
+ 更新 (プロビジョニング)
+ サービスプリンシパルにアプリケーションロールの割り当てを追加 (監査)
+ サービスプリンシパルへのアプリケーションロールの割り当てを削除 (監査)
+ サービスプリンシパル認証情報を追加 (監査)
+ サービスプリンシパル認証情報を削除 (監査)
+ サービスプリンシパルの更新 (監査)
+ サービスプリンシパルの追加 (監査)
+ サービスプリンシパルのハード削除 (監査)
+ サービスプリンシパルの削除 (監査)
+ アプリケーションへの同意 (監査)
+ アプリケーションの追加 (監査)
+ オーナーをアプリケーションに追加 (監査)
+ アプリケーションのハード削除 (監査)
+ アプリケーションの削除 (監査)
+ アプリケーションの更新 (監査)
+ アプリケーションの更新 – 証明書とシークレットの管理 (監査)
+ デバイスの追加 (監査)
+ デバイスの更新 (監査)
+ デバイスの削除 (監査)
+ デバイスのハード削除 (監査)