Configurazione del codice sorgente per Microsoft Entra ID - Amazon CloudWatch
Integrazione con Microsoft Entra IDAutenticazione con Microsoft Entra IDConfigurazione della CloudWatch pipelineClassi di eventi Open Cybersecurity Schema Framework supportate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del codice sorgente per Microsoft Entra ID

Integrazione con Microsoft Entra ID

Microsoft Entra ID (precedentemente Azure Active Directory) è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft che aiuta le organizzazioni a gestire le identità degli utenti e l'accesso sicuro alle risorse. CloudWatch Pipeline utilizza l'API Microsoft Graph per recuperare informazioni complete su identità e sicurezza dai log di controllo di Microsoft Entra ID. L'API Microsoft Graph fornisce l'accesso a tre tipi di log principali: Directory Audit Logs (che tiene traccia delle modifiche a livello di directory e delle azioni amministrative), Login di accesso (acquisizione di eventi e attività di autenticazione degli utenti) e Provisioning Logs (monitoraggio delle operazioni di provisioning di utenti e gruppi).

Autenticazione con Microsoft Entra ID

Per recuperare i registri di controllo EntrAID, le pipeline devono autenticarsi con il tuo account. Il plugin supporta l'autenticazione. OAuth2 Segui le istruzioni in Microsoft Graph APIs e dovresti avere la licenza Microsoft Entra ID P1 o P2.

  • Registra un'applicazione in Azure con tipi di account supportati, account solo in questa directory organizzativa (tenant singolo). Una volta completata la registrazione, annota l'ID dell'applicazione (client) e l'ID della directory (tenant).

  • Genera una nuova chiave per la tua applicazione. La chiave è anche nota come client secret, che viene utilizzata quando si scambia un codice di autorizzazione con un token di accesso.

  • In Gestione dei segreti AWS, crea un segreto e archivia l'ID dell'applicazione (client) sotto la chiave client_id e il segreto del client sotto la chiave client_secret

  • Specificate le autorizzazioni richieste dall'applicazione per accedere a Microsoft Graph APIs. Le autorizzazioni necessarie sono:

    • AuditLog.Read.All: necessario per leggere i log di controllo, i log di accesso e i log di provisioning

    • Directory.Read.All: necessario per leggere i dati delle directory

Configurazione della CloudWatch pipeline

Quando configuri la pipeline per leggere i registri di controllo da Microsoft entRAID, scegli Microsoft entRAID come origine dati. Inserisci le informazioni richieste come l'ID del tenant utilizzando l'ID della directory (tenant). Una volta creata la pipeline, i dati saranno disponibili nel gruppo di CloudWatch log Logs selezionato.

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta lo schema OCSF versione v1.5.0 e gli eventi Entra ID associati a Authentication (3002), Account Change (3001), User Access Management (3005) ed Entity Management (3004).

L'autenticazione contiene i seguenti eventi con tipo tra parentesi:

  • Nome utente o password non validi (accesso)

  • User Strong Auth ClientAuth N Required Interrupt (accesso)

  • Errore Mfa dell'utente Pass Through (accesso)

  • Autenticazione non riuscita durante l'autenticazione forte (accesso)

Account Change contiene i seguenti eventi con tipo tra parentesi:

  • Aggiungi utente (Audit)

  • Aggiorna utente (Audit)

  • Elimina utente (Audit)

  • Eliminazione definitiva dell'utente (Audit)

  • Reimpostazione della password (Audit)

  • L'utente ha modificato le informazioni di sicurezza predefinite (Audit)

  • Abilita l'autenticazione avanzata (audit)

  • Disabilita l'autenticazione avanzata (audit)

La gestione degli accessi utente contiene i seguenti eventi con tipo tra parentesi:

  • Aggiungi membro idoneo al ruolo (Audit)

  • Rimuovi membro idoneo dal ruolo (Audit)

  • L'aggiunta del membro idoneo al ruolo in PIM è stata completata (Audit)

  • Rimozione del membro idoneo dal ruolo in PIM completata (Audit)

  • Aggiungi membro al ruolo (Audit)

  • Rimuovi membro dal ruolo (Audit)

  • Rimuovi l'assegnazione diretta permanente di ruolo (Audit)

  • Aggiungi l'assegnazione diretta permanente di ruolo (Audit)

  • Avviso PIM attivato (Audit)

  • Aggiungi concessione di autorizzazione delegata (Audit)

  • Rimuovi la concessione di autorizzazioni delegate (Audit)

Entity Management contiene i seguenti eventi con tipo tra parentesi:

  • Crea (Provisioning)

  • Aggiornamento (approvvigionamento)

  • Aggiungi l'assegnazione del ruolo dell'app al responsabile del servizio (Audit)

  • Rimuovi l'assegnazione del ruolo dell'app al responsabile del servizio (Audit)

  • Aggiungi le credenziali principali del servizio (Audit)

  • Rimuovere le credenziali principali del servizio (Audit)

  • Aggiorna il principale del servizio (Audit)

  • Aggiungi il responsabile del servizio (Audit)

  • Hard Delete Service Principal (Audit)

  • Rimuovi il responsabile del servizio (Audit)

  • Consenso alla domanda (Audit)

  • Aggiungi applicazione (Audit)

  • Aggiungi proprietario all'applicazione (Audit)

  • Applicazione Hard Delete (Audit)

  • Elimina applicazione (Audit)

  • Aggiorna l'applicazione (Audit)

  • Applicazione di aggiornamento: gestione dei certificati e dei segreti (Audit)

  • Aggiungi dispositivo (Audit)

  • Aggiorna dispositivo (audit)

  • Elimina dispositivo (Audit)

  • Dispositivo di eliminazione definitiva (Audit)

Mostra piùMostra meno