# Configuração de fonte para o Microsoft Entra ID
<a name="entraid-source-setup"></a>

## Integrar com o Microsoft Entra ID
<a name="entraid-integration"></a>

O Microsoft Entra ID (antigo Azure Active Directory) é o serviço de gerenciamento de identidade e acesso da Microsoft baseado na nuvem que ajuda as organizações a gerenciar identidades de usuários e proteger o acesso aos recursos. O CloudWatch Pipeline usa a API do Microsoft Graph para recuperar informações completas de identidade e segurança dos logs de auditoria do Microsoft Entra ID. A API do Microsoft Graph fornece acesso a três tipos principais de logs: de auditoria de diretório (acompanhamento de alterações e ações administrativas ao nível do diretório), logs de login (captura de atividades e eventos de autenticação de usuário) e logs de provisionamento (monitoramento de operações de aprovisionamento de usuários e grupos).

## Autenticação no Microsoft Entra ID
<a name="entraid-authentication"></a>

Para recuperar o EntraID de Audit Logs, o pipeline precisa ser autenticado na sua conta. O plug-in é compatível com autenticação OAuth2. Siga as instruções nas APIs do Microsoft Graph, e é necessário ter a licença Microsoft Entra ID P1 ou P2.
+ Registre uma aplicação no Azure com os tipos de conta compatíveis; contas nesse diretório organizacional apenas (locatário único). Após a conclusão do registro, anote o ID da aplicação (cliente) e o ID do diretório (locatário).
+ Gere uma nova chave para a aplicação. A chave, também conhecida como segredo do cliente, é usada ao trocar um código de autorização por um token de acesso.
+ No AWS Secrets Manager, crie um segredo e armazene o ID da aplicação (cliente) com a chave `client_id` e o segredo do cliente com a chave `client_secret`
+ Especifique as permissões de que a aplicação precisa para acessar as APIs do Microsoft Graph. As permissões de que você precisa são:
  + AuditLog.Read.All: obrigatório para ler logs de auditoria, logs de login e logs de provisionamento
  + Directory.Read.All: obrigatório para ler dados de diretórios

## Configurar o CloudWatch Pipeline
<a name="entraid-pipeline-config"></a>

Ao configurar o pipeline para ler logs de auditoria do Microsoft EntraID, escolha o Microsoft EntraID como a fonte de dados. Preencha as informações necessárias, como ID do locatário, usando o ID do diretório (locatário). Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

## Classes de eventos do Open Cybersecurity Schema Framework compatíveis
<a name="entraid-ocsf-events"></a>

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos do Entra ID que são mapeados para Authentication (3002), Account Change (3001), User Access Management (3005) e Entity Management (3004).

**Authentication** inclui os seguintes eventos com o tipo entre parênteses:
+ Nome de usuário ou senha inválidos (Login)
+ Interrupção solicitada de ClientAuthN de autenticação forte de usuário (Login)
+ Erro de mfa de usuário pass‑through (Login)
+ Insucesso de autenticação durante autenticação forte (Login)

**Account Change** inclui os seguintes eventos com tipo entre parênteses:
+ Adicionar usuário (Auditoria)
+ Atualizar usuário (Auditoria)
+ Excluir usuário (Auditoria)
+ Excluir usuário permanentemente (Auditoria)
+ Redefinir senha (Auditoria)
+ Usuário alterou informações de segurança padrão (Auditoria)
+ Habilitar autenticação forte (Auditoria)
+ Desabilitar autenticação forte (Auditoria)

**User Access Management** inclui os seguintes eventos com tipo entre colchetes:
+ Adicionar membro elegível a perfil (Auditoria)
+ Remover membro elegível de perfil (Auditoria)
+ Adicionar membro elegível a perfil em PIM concluído (Auditoria)
+ Remover membro elegível de perfil em PIM concluído (Auditoria)
+ Adicionar membro a perfil (Auditoria)
+ Remover membro de perfil (Auditoria)
+ Remover atribuição direta permanente de perfil (Auditoria)
+ Adicionar atribuição direta permanente de perfil (Auditoria)
+ Alerta de PIM acionado (Auditoria)
+ Adicionar concessão de permissão delegada (Auditoria)
+ Remover concessão de permissão delegada (Auditoria)

**Entity Management** inclui os seguintes eventos com tipo entre parênteses:
+ Criar (Provisionamento)
+ Atualizar (Provisionamento)
+ Adicionar atribuição de perfil de aplicação a entidade principal de serviço (Auditoria)
+ Remover atribuição de perfil de aplicação a entidade principal de serviço (Auditoria)
+ Adicionar credenciais de entidade principal de serviço (Auditoria)
+ Remover credenciais de entidade principal de serviço (Auditoria)
+ Atualizar entidade principal de serviço (Auditoria)
+ Adicionar entidade principal de serviço (Auditoria)
+ Excluir entidade principal de serviço permanentemente (Auditoria)
+ Remover entidade principal de serviço (Auditoria)
+ Consentimento para aplicação (Auditoria)
+ Adicionar aplicação (Auditoria)
+ Adicionar proprietário a aplicação (Auditoria)
+ Excluir aplicação permanentemente (Auditoria)
+ Excluir aplicação (Auditoria)
+ Atualizar aplicação (Auditoria)
+ Atualizar aplicação: gerenciamento de certificados e segredos (Auditoria)
+ Adicionar dispositivo (Auditoria)
+ Atualizar dispositivo (Auditoria)
+ Excluir dispositivo (Auditoria)
+ Excluir dispositivo permanentemente (Auditoria)