View a markdown version of this page

Microsoft Entra ID의 소스 설정 구성 - Amazon CloudWatch
Microsoft Entra ID와 통합Microsoft Entra ID로 인증CloudWatch 파이프라인 구성지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

Microsoft Entra ID의 소스 설정 구성

Microsoft Entra ID와 통합

Microsoft Entra ID(이전의 Azure Active Directory)는 조직에서 사용자 ID를 관리하고 리소스에 대한 액세스를 보호할 수 있는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. CloudWatch Pipeline은 Microsoft Graph API를 사용하여 Microsoft Entra ID 감사 로그에서 포괄적인 ID 및 보안 정보를 검색합니다. Microsoft Graph API는 디렉터리 감사 로그(디렉터리 수준별 변경 사항 및 관리 작업 추적), 로그인 로그(사용자 인증 이벤트 및 활동 캡처), 프로비저닝 로그(사용자 및 그룹 프로비저닝 작업 모니터링)라는 3가지 기본 로그 유형에 대한 액세스 권한을 제공합니다.

Microsoft Entra ID로 인증

감사 로그 EntraID를 검색하려면 파이프라인이 사용자의 계정으로 인증해야 합니다. 플러그인은 OAuth2 인증을 지원합니다. Microsoft Graph API의 지침을 따르며, Microsoft Entra ID P1 또는 P2 라이선스가 있어야 합니다.

  • 지원되는 계정 유형, 이 조직 디렉터리의 계정(단일 테넌트)으로만 Azure에 애플리케이션을 등록합니다. 등록이 완료되면 애플리케이션(클라이언트) ID와 디렉터리(테넌트) ID를 메모합니다.

  • 애플리케이션에 대한 새 키를 생성합니다. 키는 클라이언트 보안 암호라고도 하며, 액세스 토큰에 대한 권한 부여 코드를 교체할 때 사용됩니다.

  • AWS Secrets Manager에서 보안 암호를 생성한 후 client_id라는 키로 애플리케이션(클라이언트) ID를 저장하고 client_secret이라는 키로 클라이언트 보안 암호를 저장합니다.

  • 애플리케이션이 Microsoft Graph API에 액세스하는 데 필요한 권한을 지정합니다. 필요한 권한은 다음과 같습니다.

    • AuditLog.Read.All: 감사 로그, 로그인 로그, 프로비저닝 로그를 읽는 데 필요합니다.

    • Directory.Read.All: 디렉터리 데이터를 읽는 데 필요합니다.

CloudWatch 파이프라인 구성

Microsoft EntraID에서 감사 로그를 읽도록 파이프라인을 구성할 경우 Microsoft EntraID를 데이터 소스로 선택합니다. 디렉터리(테넌트) ID를 사용하여 테넌트 ID 같은 필수 정보를 입력합니다. 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 인증(3002), 계정 변경(3001), 사용자 액세스 관리(3005), 엔터티 관리(3004)에 매핑되는 Entra ID 이벤트를 지원합니다.

인증에는 다음과 같은 이벤트가 포함되며 괄호 안에 유형이 나와 있습니다.

  • 잘못된 사용자 이름 또는 암호(로그인)

  • 사용자의 강력한 인증 ClientAuthN이 필요한 중단(로그인)

  • 사용자 전달 Mfa 오류(로그인)

  • 강력한 인증 중 인증 실패(로그인)

계정 변경에는 다음과 같은 이벤트가 포함되며 괄호 안에 유형이 나와 있습니다.

  • 사용자 추가(감사)

  • 사용자 업데이트(감사)

  • 사용자 삭제(감사)

  • 사용자 물리 삭제(감사)

  • 암호 재설정(감사)

  • 사용자가 기본 보안 정보 변경(감사)

  • 강력한 인증 활성화(감사)

  • 강력한 인증 비활성화(감사)

사용자 액세스 관리에는 다음과 같은 이벤트가 포함되며 괄호 안에 유형이 나와 있습니다.

  • 역할에 적격 멤버 추가(감사)

  • 역할에서 적격 멤버 제거(감사)

  • PIM의 역할에 적격 멤버 추가 완료(감사)

  • PIM의 역할에서 적격 멤버 제거 완료(감사)

  • 역할에 멤버 추가(감사)

  • 역할에서 멤버 제거(감사)

  • 영구적인 직접 역할 할당 제거(감사)

  • 영구적인 직접 역할 할당 추가(감사)

  • 트리거된 PIM 알림(감사)

  • 위임된 권한 부여 추가(감사)

  • 위임된 권한 부여 제거(감사)

엔터티 관리에는 다음과 같은 이벤트가 포함되며 괄호 안에 유형이 나와 있습니다.

  • 생성(프로비저닝)

  • 업데이트(프로비저닝)

  • 서비스 보안 주체에 앱 역할 할당 추가(감사)

  • 서비스 보안 주체의 앱 역할 할당 제거(감사)

  • 서비스 보안 주체 자격 증명 추가(감사)

  • 서비스 보안 주체 자격 증명 제거(감사)

  • 서비스 보안 주체 업데이트(감사)

  • 서비스 보안 주체 추가(감사)

  • 서비스 보안 주체 물리 삭제(감사)

  • 서비스 보안 주체 제거(감사)

  • 애플리케이션에 대한 동의(감사)

  • 애플리케이션 추가(감사)

  • 애플리케이션에 소유자 추가(감사)

  • 애플리케이션 물리 삭제(감사)

  • 애플리케이션 삭제(감사)

  • 애플리케이션 업데이트(감사)

  • 애플리케이션 업데이트 - 인증서 및 보안 암호 관리(감사)

  • 디바이스 추가(감사)

  • 디바이스 업데이트(감사)

  • 디바이스 삭제(감사)

  • 디바이스 물리 삭제(감사)

더보기간략히 보기