View a markdown version of this page

Configuração de fonte para o Microsoft Entra ID - Amazon CloudWatch
Integrar com o Microsoft Entra IDAutenticação no Microsoft Entra IDConfigurar o CloudWatch PipelineClasses de eventos do Open Cybersecurity Schema Framework compatíveis

Configuração de fonte para o Microsoft Entra ID

Integrar com o Microsoft Entra ID

O Microsoft Entra ID (antigo Azure Active Directory) é o serviço de gerenciamento de identidade e acesso da Microsoft baseado na nuvem que ajuda as organizações a gerenciar identidades de usuários e proteger o acesso aos recursos. O CloudWatch Pipeline usa a API do Microsoft Graph para recuperar informações completas de identidade e segurança dos logs de auditoria do Microsoft Entra ID. A API do Microsoft Graph fornece acesso a três tipos principais de logs: de auditoria de diretório (acompanhamento de alterações e ações administrativas ao nível do diretório), logs de login (captura de atividades e eventos de autenticação de usuário) e logs de provisionamento (monitoramento de operações de aprovisionamento de usuários e grupos).

Autenticação no Microsoft Entra ID

Para recuperar o EntraID de Audit Logs, o pipeline precisa ser autenticado na sua conta. O plug-in é compatível com autenticação OAuth2. Siga as instruções nas APIs do Microsoft Graph, e é necessário ter a licença Microsoft Entra ID P1 ou P2.

  • Registre uma aplicação no Azure com os tipos de conta compatíveis; contas nesse diretório organizacional apenas (locatário único). Após a conclusão do registro, anote o ID da aplicação (cliente) e o ID do diretório (locatário).

  • Gere uma nova chave para a aplicação. A chave, também conhecida como segredo do cliente, é usada ao trocar um código de autorização por um token de acesso.

  • No AWS Secrets Manager, crie um segredo e armazene o ID da aplicação (cliente) com a chave client_id e o segredo do cliente com a chave client_secret

  • Especifique as permissões de que a aplicação precisa para acessar as APIs do Microsoft Graph. As permissões de que você precisa são:

    • AuditLog.Read.All: obrigatório para ler logs de auditoria, logs de login e logs de provisionamento

    • Directory.Read.All: obrigatório para ler dados de diretórios

Configurar o CloudWatch Pipeline

Ao configurar o pipeline para ler logs de auditoria do Microsoft EntraID, escolha o Microsoft EntraID como a fonte de dados. Preencha as informações necessárias, como ID do locatário, usando o ID do diretório (locatário). Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos do Entra ID que são mapeados para Authentication (3002), Account Change (3001), User Access Management (3005) e Entity Management (3004).

Authentication inclui os seguintes eventos com o tipo entre parênteses:

  • Nome de usuário ou senha inválidos (Login)

  • Interrupção solicitada de ClientAuthN de autenticação forte de usuário (Login)

  • Erro de mfa de usuário pass‑through (Login)

  • Insucesso de autenticação durante autenticação forte (Login)

Account Change inclui os seguintes eventos com tipo entre parênteses:

  • Adicionar usuário (Auditoria)

  • Atualizar usuário (Auditoria)

  • Excluir usuário (Auditoria)

  • Excluir usuário permanentemente (Auditoria)

  • Redefinir senha (Auditoria)

  • Usuário alterou informações de segurança padrão (Auditoria)

  • Habilitar autenticação forte (Auditoria)

  • Desabilitar autenticação forte (Auditoria)

User Access Management inclui os seguintes eventos com tipo entre colchetes:

  • Adicionar membro elegível a perfil (Auditoria)

  • Remover membro elegível de perfil (Auditoria)

  • Adicionar membro elegível a perfil em PIM concluído (Auditoria)

  • Remover membro elegível de perfil em PIM concluído (Auditoria)

  • Adicionar membro a perfil (Auditoria)

  • Remover membro de perfil (Auditoria)

  • Remover atribuição direta permanente de perfil (Auditoria)

  • Adicionar atribuição direta permanente de perfil (Auditoria)

  • Alerta de PIM acionado (Auditoria)

  • Adicionar concessão de permissão delegada (Auditoria)

  • Remover concessão de permissão delegada (Auditoria)

Entity Management inclui os seguintes eventos com tipo entre parênteses:

  • Criar (Provisionamento)

  • Atualizar (Provisionamento)

  • Adicionar atribuição de perfil de aplicação a entidade principal de serviço (Auditoria)

  • Remover atribuição de perfil de aplicação a entidade principal de serviço (Auditoria)

  • Adicionar credenciais de entidade principal de serviço (Auditoria)

  • Remover credenciais de entidade principal de serviço (Auditoria)

  • Atualizar entidade principal de serviço (Auditoria)

  • Adicionar entidade principal de serviço (Auditoria)

  • Excluir entidade principal de serviço permanentemente (Auditoria)

  • Remover entidade principal de serviço (Auditoria)

  • Consentimento para aplicação (Auditoria)

  • Adicionar aplicação (Auditoria)

  • Adicionar proprietário a aplicação (Auditoria)

  • Excluir aplicação permanentemente (Auditoria)

  • Excluir aplicação (Auditoria)

  • Atualizar aplicação (Auditoria)

  • Atualizar aplicação: gerenciamento de certificados e segredos (Auditoria)

  • Adicionar dispositivo (Auditoria)

  • Atualizar dispositivo (Auditoria)

  • Excluir dispositivo (Auditoria)

  • Excluir dispositivo permanentemente (Auditoria)

Mostrar maisMostrar menos