Microsoft Entra ID 数据来源配置
与 Microsoft Entra ID 的集成配置
Microsoft Entra ID(前身为 Azure Active Directory)是 Microsoft 推出的云原生身份与访问管理服务,可助力企业组织管理用户身份,保障各类资源的访问安全。CloudWatch 管道通过调用 Microsoft Graph API,从 Microsoft Entra ID 审计日志中获取全面的身份与安全信息。Microsoft Graph API 支持访问三类核心日志:目录审计日志(跟踪目录级别的变更操作与管理行为)、登录日志(捕获用户身份验证事件及相关操作行为)、配置日志(监控用户和用户组的配置部署操作)。
与 Microsoft Entra ID 的身份验证配置
要获取 Microsoft Entra ID 的审计日志,管道需完成账户身份验证。该插件支持 OAuth2 身份验证机制。按照 Microsoft Graph API 中的说明操作,确保拥有 Microsoft Entra ID P1 或 P2 许可证。
在 Azure 中注册应用程序,支持的账户类型选择仅限此组织目录中的账户(单租户)。注册完成后,记录下应用程序(客户端)ID 和目录(租户)ID。
为该应用程序生成新密钥。该密钥也称作客户端密钥,用于授权码换取访问令牌的流程。
在 AWS Secrets Manager 中创建密钥,将应用程序(客户端)ID 存入
client_id键,将客户端密钥存入client_secret键为应用程序配置访问 Microsoft Graph API 所需的权限。所需权限如下:
AuditLog.Read.All:读取审计日志、登录日志和配置日志的必备权限
Directory.Read.All:读取目录数据的必备权限
配置 CloudWatch 管道
将管道配置为从 Microsoft Entra ID 读取审计日志时,选择 Microsoft Entra ID 作为数据来源。填写必填信息,例如使用目录(租户)ID 作为租户 ID。创建管道后,数据将在选定的 CloudWatch Logs 日志组中可用。
支持的开放式网络安全架构框架事件类
本次集成支持 OCSF 架构 v1.5.0 版本,同时支持可映射到“身份验证”(3002)、“账户变更”(3001)、“用户访问管理”(3005)和“实体管理”(3004)的 Entra ID 事件。
身份验证包含以下事件(括号内为事件类型):
用户名或密码无效(登录)
用户强身份验证客户端认证强制中断(登录)
直通式用户多因素认证错误(登录)
强身份验证过程中认证失败(登录)
账户变更包含以下事件(括号内为事件类型):
添加用户(审计)
更新用户(审计)
删除用户(审计)
硬删除用户(审计)
重置密码(审计)
用户修改默认安全信息(审计)
启用强身份验证(审计)
禁用强身份验证(审计)
用户访问管理包含以下事件(括号内为事件类型):
为角色添加合格成员(审计)
从角色中移除合格成员(审计)
完成 PIM 中为角色添加合格成员操作(审计)
完成 PIM 中从角色移除合格成员操作(审计)
为角色添加成员(审计)
从角色中移除成员(审计)
移除永久直接角色分配(审计)
添加永久直接角色分配(审计)
触发 PIM 警报(审计)
添加委托权限授权(审计)
移除委托权限授权(审计)
实体管理包含以下事件(括号内为事件类型):
创建(配置部署)
更新(配置部署)
为服务主体添加应用程序角色分配(审计)
从服务主体移除应用程序角色分配(审计)
添加服务主体凭证(审计)
移除服务主体凭证(审计)
更新服务主体(审计)
添加服务主体(审计)
硬删除服务主体(审计)
移除服务主体(审计)
同意应用程序授权(审计)
新增应用程序(审计)
为应用程序添加所有者(审计)
硬删除应用程序(审计)
删除应用程序(审计)
更新应用程序(审计)
更新应用程序 – 证书与密钥管理(审计)
添加设备(审计)
更新设备(审计)
删除设备(审计)
硬删除设备(审计)
