Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration de la source pour Microsoft Entra ID
Intégration avec Microsoft Entra ID
Microsoft Entra ID (anciennement Azure Active Directory) est le service de gestion des identités et des accès basé sur le cloud de Microsoft qui aide les entreprises à gérer les identités des utilisateurs et à sécuriser l'accès aux ressources. CloudWatch Pipeline utilise l'API Microsoft Graph pour récupérer des informations complètes sur l'identité et la sécurité à partir des journaux d'audit Microsoft Entra ID. L'API Microsoft Graph donne accès à trois types de journaux principaux : les journaux d'audit d'annuaire (suivi des modifications au niveau du répertoire et des actions administratives), les journaux de connexion (capturant les événements et activités d'authentification des utilisateurs) et les journaux de provisionnement (surveillance des opérations de provisionnement des utilisateurs et des groupes).
Authentification avec l'identifiant Microsoft Entra
Pour récupérer les journaux d'audit EntrAid, les pipelines doivent s'authentifier auprès de votre compte. Le plugin prend en charge OAuth2 l'authentification. Suivez les instructions de Microsoft Graph APIs et vous devez disposer de la licence Microsoft Entra ID P1 ou P2.
Enregistrez une application dans Azure avec les types de comptes pris en charge, comptes dans ce répertoire d'organisation uniquement (locataire unique). Une fois l'enregistrement terminé, notez l'ID de l'application (client) et l'ID du répertoire (locataire).
Générez une nouvelle clé pour votre application. La clé est également connue sous le nom de secret client, qui est utilisée lors de l'échange d'un code d'autorisation contre un jeton d'accès.
Dans le AWS Secrets Manager, créez un secret et stockez l'ID de l'application (client) sous la clé
client_idet le secret du client sous la cléclient_secretSpécifiez les autorisations dont votre application a besoin pour accéder au Microsoft Graph APIs. Les autorisations dont vous avez besoin sont les suivantes :
AuditLog.Read.All : obligatoire pour lire les journaux d'audit, les journaux de connexion et les journaux de provisionnement
Directory.Read.All : obligatoire pour lire les données du répertoire
Configuration du CloudWatch pipeline
Lorsque vous configurez le pipeline pour lire les journaux d'audit à partir de Microsoft EnRAID, choisissez Microsoft EnRAID comme source de données. Remplissez les informations requises, telles que l'identifiant du locataire, en utilisant l'identifiant du répertoire (tenant). Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.
Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge
Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements Entra ID qui correspondent à l'authentification (3002), au changement de compte (3001), à la gestion de l'accès utilisateur (3005) et à la gestion des entités (3004).
L'authentification contient les événements suivants, dont le texte est indiqué entre crochets :
Nom d'utilisateur ou mot de passe non valide (connexion)
Authentification forte de l'utilisateur ClientAuth Aucune interruption requise (connexion)
Erreur MFA transmise par l'utilisateur (connexion)
Échec de l'authentification lors d'une authentification renforcée (connexion)
Account Change contient les événements suivants, dont le texte est indiqué entre crochets :
Ajouter un utilisateur (Audit)
Mettre à jour l'utilisateur (audit)
Supprimer un utilisateur (audit)
Supprimer définitivement un utilisateur (audit)
Réinitialiser le mot de passe (Audit)
L'utilisateur a modifié les informations de sécurité par défaut (Audit)
Activer l'authentification forte (audit)
Désactiver l'authentification forte (audit)
La gestion de l'accès utilisateur contient les événements suivants, dont le texte est indiqué entre crochets :
Ajouter un membre éligible au rôle (Audit)
Supprimer le membre éligible du rôle (audit)
L'ajout d'un membre éligible au rôle dans le PIM est terminé (audit)
Suppression du membre éligible du rôle dans le PIM terminée (audit)
Ajouter un membre au rôle (Audit)
Supprimer un membre du rôle (audit)
Supprimer l'attribution directe permanente des rôles (audit)
Ajouter une attribution directe permanente des rôles (audit)
Alerte PIM déclenchée (audit)
Ajouter l'octroi d'autorisations déléguées (audit)
Supprimer l'octroi d'autorisations déléguées (audit)
Entity Management contient les événements suivants, dont le texte est indiqué entre crochets :
Créer (provisionnement)
Mise à jour (provisionnement)
Ajouter l'attribution de rôles d'application au principal de service (Audit)
Supprimer l'attribution de rôles d'application au directeur de service (audit)
Ajouter les informations d'identification principales du service (Audit)
Supprimer les informations d'identification principales du service (audit)
Mettre à jour le principal du service (Audit)
Ajouter un principal de service (Audit)
Supprimer définitivement le principal du service (Audit)
Supprimer le principal de service (audit)
Consentement à la demande (audit)
Ajouter une application (Audit)
Ajouter le propriétaire à l'application (audit)
Application Hard Delete (Audit)
Supprimer l'application (audit)
Mettre à jour l'application (audit)
Application de mise à jour — Gestion des certificats et des secrets (Audit)
Ajouter un appareil (Audit)
Mettre à jour l'appareil (audit)
Supprimer l'appareil (audit)
Appareil à suppression définitive (audit)
