Quellkonfiguration für Microsoft Entra ID - Amazon CloudWatch
Integration mit Microsoft Entra IDAuthentifizierung mit Microsoft Entra IDKonfiguration der CloudWatch PipelineUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für Microsoft Entra ID

Integration mit Microsoft Entra ID

Microsoft Entra ID (ehemals Azure Active Directory) ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft, mit dem Unternehmen Benutzeridentitäten verwalten und den Zugriff auf Ressourcen sichern können. CloudWatch Pipeline verwendet die Microsoft Graph-API, um umfassende Identitäts- und Sicherheitsinformationen aus Microsoft Entra ID-Prüfprotokollen abzurufen. Die Microsoft Graph-API bietet Zugriff auf drei Hauptprotokolltypen: Verzeichnisüberwachungsprotokolle (Nachverfolgung von Änderungen und administrativen Aktionen auf Verzeichnisebene), Anmeldeprotokolle (Erfassung von Benutzerauthentifizierungsereignissen und -aktivitäten) und Bereitstellungsprotokolle (Überwachung von Benutzern- und Gruppenbereitstellungsvorgängen).

Authentifizierung mit Microsoft Entra ID

Um die Audit-Logs entRAID abzurufen, muss sich Pipelines mit Ihrem Konto authentifizieren. Das Plugin unterstützt die Authentifizierung. OAuth2 Folgen Sie den Anweisungen in Microsoft Graph APIs und Sie sollten über die Microsoft Entra ID P1- oder P2-Lizenz verfügen.

  • Registrieren Sie eine Anwendung in Azure mit unterstützten Kontotypen, Konten nur in diesem Organisationsverzeichnis (Einzelmandant). Notieren Sie sich nach Abschluss der Registrierung die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant).

  • Generieren Sie einen neuen Schlüssel für Ihre Anwendung. Der Schlüssel wird auch als Client-Geheimnis bezeichnet. Er wird verwendet, wenn ein Autorisierungscode gegen ein Zugriffstoken ausgetauscht wird.

  • Erstellen Sie in der AWS Secrets Manager ein Geheimnis und speichern Sie die Anwendungs-ID (Client) unter dem Schlüssel client_id und das Client-Geheimnis unter dem Schlüssel client_secret

  • Geben Sie die Berechtigungen an, die Ihre Anwendung für den Zugriff auf Microsoft Graph benötigt APIs. Die Berechtigungen, die Sie benötigen, sind:

    • AuditLog.Read.All: Erforderlich, um Audit-Logs, Anmelde-Logs und Provisioning-Logs zu lesen

    • Directory.Read.All: Erforderlich, um Verzeichnisdaten zu lesen

Konfiguration der CloudWatch Pipeline

Wenn Sie die Pipeline so konfigurieren, dass sie Audit-Logs von Microsoft EntRAID liest, wählen Sie Microsoft EntRAID als Datenquelle. Geben Sie die erforderlichen Informationen wie die Mandanten-ID mithilfe der Verzeichnis-ID (Mandanten-ID) ein. Sobald Sie die Pipeline erstellt haben, sind die Daten in der ausgewählten Protokollgruppe CloudWatch Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt OCSF-Schemaversion v1.5.0 und Entra ID-Ereignisse, die Authentifizierung (3002), Kontoänderung (3001), Benutzerzugriffsverwaltung (3005) und Entitätsverwaltung (3004) zugeordnet sind.

Die Authentifizierung enthält die folgenden Ereignisse mit dem Typ in Klammern:

  • Ungültiger Benutzername oder Passwort (Anmeldung)

  • Benutzer Strong Auth ClientAuth N Interrupt erforderlich (Anmeldung)

  • MFA-Fehler beim Weiterleiten des Benutzers (Anmeldung)

  • Die Authentifizierung ist während der starken Authentifizierung (Anmeldung) fehlgeschlagen

Die Kontoänderung enthält die folgenden Ereignisse mit dem Typ in Klammern:

  • Benutzer hinzufügen (Audit)

  • Benutzer aktualisieren (Audit)

  • Benutzer löschen (Audit)

  • Benutzer dauerhaft löschen (Audit)

  • Passwort zurücksetzen (Audit)

  • Der Benutzer hat die Standard-Sicherheitsinformationen geändert (Audit)

  • Aktivieren Sie die starke Authentifizierung (Audit)

  • Deaktivieren Sie die starke Authentifizierung (Audit)

User Access Management enthält die folgenden Ereignisse mit dem Typ in Klammern:

  • Ein berechtigtes Mitglied zur Rolle hinzufügen (Audit)

  • Teilnahmeberechtigtes Mitglied aus der Rolle entfernen (Audit)

  • Das Hinzufügen eines berechtigten Mitglieds zur Rolle in PIM ist abgeschlossen (Prüfung)

  • Das Entfernen eines berechtigten Mitglieds aus der Rolle in PIM ist abgeschlossen (Prüfung)

  • Mitglied zur Rolle hinzufügen (Audit)

  • Mitglied aus der Rolle entfernen (Audit)

  • Entfernen Sie die permanente direkte Rollenzuweisung (Audit)

  • Fügen Sie eine permanente direkte Rollenzuweisung hinzu (Audit)

  • PIM-Warnung ausgelöst (Audit)

  • Delegierte Berechtigungsgewährung hinzufügen (Audit)

  • Delegierte Berechtigungserteilung entfernen (Audit)

Entity Management enthält die folgenden Ereignisse mit dem Typ in Klammern:

  • Erstellen (Bereitstellung)

  • Aktualisieren (Bereitstellung)

  • Fügen Sie dem Dienstprinzipal die App-Rollenzuweisung hinzu (Audit)

  • Entfernen Sie die App-Rollenzuweisung zum Service Principal (Audit)

  • Fügen Sie Anmeldeinformationen für den Dienstprinzipal hinzu (Audit)

  • Anmeldeinformationen für den Dienstprinzipal entfernen (Audit)

  • Aktualisieren Sie den Dienstprinzipal (Audit)

  • Dienstprinzipal hinzufügen (Audit)

  • Den Dienstprinzipal dauerhaft löschen (Audit)

  • Dienstprinzipal entfernen (Audit)

  • Zustimmung zur Bewerbung (Audit)

  • Antrag hinzufügen (Audit)

  • Besitzer zur Anwendung hinzufügen (Audit)

  • Anwendung dauerhaft löschen (Audit)

  • Anwendung löschen (Audit)

  • Anwendung aktualisieren (Audit)

  • Anwendung aktualisieren — Verwaltung von Zertifikaten und Geheimnissen (Audit)

  • Gerät hinzufügen (Audit)

  • Gerät aktualisieren (Audit)

  • Gerät löschen (Audit)

  • Gerät dauerhaft löschen (Audit)

Mehr anzeigenWeniger anzeigen