本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Microsoft Entra ID 的來源組態
## 與 Microsoft Entra ID 整合
Microsoft Entra ID (先前稱為 Azure Active Directory) 是 Microsoft 的雲端型身分和存取管理服務,可協助組織管理使用者身分和安全存取 資源。CloudWatch Pipeline 使用 Microsoft Graph API 從 Microsoft Entra ID 稽核日誌中擷取全面的身分和安全資訊。Microsoft Graph API 可讓您存取三種主要日誌類型:目錄稽核日誌 (追蹤目錄層級變更和管理動作)、登入日誌 (擷取使用者身分驗證事件和活動),以及佈建日誌 (監控使用者和群組佈建操作)。
## 使用 Microsoft Entra ID 驗證
若要擷取 Audit Logs EntraID,管道需要向您的帳戶進行身分驗證。外掛程式支援 OAuth2 身分驗證。請遵循 Microsoft 圖形 APIs中的指示,並應具有 Microsoft Entra ID P1 或 P2 授權。
+ 在 Azure 中向支援的 帳戶類型註冊應用程式,僅限此組織目錄中的帳戶 (單一租戶)。註冊完成後,記下應用程式 (用戶端) ID 和目錄 (租戶) ID。
+ 為您的應用程式產生新的金鑰。金鑰也稱為用戶端秘密,用於交換存取字符的授權碼。
+ 在 中 AWS Secrets Manager,建立秘密,並將應用程式 (用戶端) ID 存放在金鑰下,`client_id`並將用戶端秘密存放在金鑰下 `client_secret`
+ 指定應用程式存取 Microsoft Graph APIs所需的許可。您需要的許可如下:
+ AuditLog.Read.All:讀取稽核日誌、登入日誌和佈建日誌時需要
+ Directory.Read.All:讀取目錄資料時需要
## 設定 CloudWatch 管道
設定管道從 Microsoft EntraID 讀取稽核日誌時,請選擇 Microsoft EntraID 作為資料來源。使用目錄 (租戶) ID 填寫必要資訊,例如租戶 ID。建立管道後,資料將可在選取的 CloudWatch Logs 日誌群組中使用。
## 支援的開放式網路安全結構描述架構事件類別
此整合支援映射至身分驗證 (3002)、帳戶變更 (3001)、使用者存取管理 (3005) 和實體管理 (3004) 的 OCSF 結構描述版本 1.5.0 和 Entra ID 事件。
**身分驗證**包含括號中具有 類型的下列事件:
+ 無效的使用者名稱或密碼 (登入)
+ User Strong Auth ClientAuthN 必要中斷 (登入)
+ 傳遞使用者 Mfa 錯誤 (登入)
+ 在強式驗證期間驗證失敗 (登入)
**帳戶變更**包含括號中具有 類型的下列事件:
+ 新增使用者 (稽核)
+ 更新使用者 (稽核)
+ 刪除使用者 (稽核)
+ 硬刪除使用者 (稽核)
+ 重設密碼 (稽核)
+ 使用者已變更預設安全性資訊 (稽核)
+ 啟用強式身分驗證 (稽核)
+ 停用強式身分驗證 (稽核)
**使用者存取管理**包含括號中具有 類型的下列事件:
+ 將合格成員新增至角色 (稽核)
+ 從角色移除合格成員 (稽核)
+ 在 PIM 已完成中將合格成員新增至角色 (稽核)
+ 在 PIM 已完成中從角色移除合格成員 (稽核)
+ 將成員新增至角色 (稽核)
+ 從角色移除成員 (稽核)
+ 移除永久直接角色指派 (稽核)
+ 新增永久直接角色指派 (稽核)
+ 觸發的 PIM 警示 (稽核)
+ 新增委派許可授予 (稽核)
+ 移除委派的許可授予 (稽核)
**實體管理**包含括號中具有 類型的下列事件:
+ 建立 (佈建)
+ 更新 (佈建)
+ 將應用程式角色指派新增至服務主體 (稽核)
+ 移除服務主體的應用程式角色指派 (稽核)
+ 新增服務主體登入資料 (稽核)
+ 移除服務主體憑證 (稽核)
+ 更新服務主體 (稽核)
+ 新增服務主體 (稽核)
+ 硬刪除服務主體 (稽核)
+ 移除服務主體 (稽核)
+ 同意應用程式 (稽核)
+ 新增應用程式 (稽核)
+ 將擁有者新增至應用程式 (稽核)
+ 硬刪除應用程式 (稽核)
+ 刪除應用程式 (稽核)
+ 更新應用程式 (稽核)
+ 更新應用程式 – 憑證和秘密管理 (稽核)
+ 新增裝置 (稽核)
+ 更新裝置 (稽核)
+ 刪除裝置 (稽核)
+ 硬刪除裝置 (稽核)