# Microsoft Entra ID 数据来源配置
## 与 Microsoft Entra ID 的集成配置
Microsoft Entra ID(前身为 Azure Active Directory)是 Microsoft 推出的云原生身份与访问管理服务,可助力企业组织管理用户身份,保障各类资源的访问安全。CloudWatch 管道通过调用 Microsoft Graph API,从 Microsoft Entra ID 审计日志中获取全面的身份与安全信息。Microsoft Graph API 支持访问三类核心日志:目录审计日志(跟踪目录级别的变更操作与管理行为)、登录日志(捕获用户身份验证事件及相关操作行为)、配置日志(监控用户和用户组的配置部署操作)。
## 与 Microsoft Entra ID 的身份验证配置
要获取 Microsoft Entra ID 的审计日志,管道需完成账户身份验证。该插件支持 OAuth2 身份验证机制。按照 Microsoft Graph API 中的说明操作,确保拥有 Microsoft Entra ID P1 或 P2 许可证。
+ 在 Azure 中注册应用程序,支持的账户类型选择仅限此组织目录中的账户(单租户)。注册完成后,记录下应用程序(客户端)ID 和目录(租户)ID。
+ 为该应用程序生成新密钥。该密钥也称作客户端密钥,用于授权码换取访问令牌的流程。
+ 在 Amazon Secrets Manager 中创建密钥,将应用程序(客户端)ID 存入 `client_id` 键,将客户端密钥存入 `client_secret` 键
+ 为应用程序配置访问 Microsoft Graph API 所需的权限。所需权限如下:
+ AuditLog.Read.All:读取审计日志、登录日志和配置日志的必备权限
+ Directory.Read.All:读取目录数据的必备权限
## 配置 CloudWatch 管道
将管道配置为从 Microsoft Entra ID 读取审计日志时,选择 Microsoft Entra ID 作为数据来源。填写必填信息,例如使用目录(租户)ID 作为租户 ID。创建管道后,数据将在选定的 CloudWatch Logs 日志组中可用。
## 支持的开放式网络安全架构框架事件类
本次集成支持 OCSF 架构 v1.5.0 版本,同时支持可映射到“身份验证”(3002)、“账户变更”(3001)、“用户访问管理”(3005)和“实体管理”(3004)的 Entra ID 事件。
**身份验证**包含以下事件(括号内为事件类型):
+ 用户名或密码无效(登录)
+ 用户强身份验证客户端认证强制中断(登录)
+ 直通式用户多因素认证错误(登录)
+ 强身份验证过程中认证失败(登录)
**账户变更**包含以下事件(括号内为事件类型):
+ 添加用户(审计)
+ 更新用户(审计)
+ 删除用户(审计)
+ 硬删除用户(审计)
+ 重置密码(审计)
+ 用户修改默认安全信息(审计)
+ 启用强身份验证(审计)
+ 禁用强身份验证(审计)
**用户访问管理**包含以下事件(括号内为事件类型):
+ 为角色添加合格成员(审计)
+ 从角色中移除合格成员(审计)
+ 完成 PIM 中为角色添加合格成员操作(审计)
+ 完成 PIM 中从角色移除合格成员操作(审计)
+ 为角色添加成员(审计)
+ 从角色中移除成员(审计)
+ 移除永久直接角色分配(审计)
+ 添加永久直接角色分配(审计)
+ 触发 PIM 警报(审计)
+ 添加委托权限授权(审计)
+ 移除委托权限授权(审计)
**实体管理**包含以下事件(括号内为事件类型):
+ 创建(配置部署)
+ 更新(配置部署)
+ 为服务主体添加应用程序角色分配(审计)
+ 从服务主体移除应用程序角色分配(审计)
+ 添加服务主体凭证(审计)
+ 移除服务主体凭证(审计)
+ 更新服务主体(审计)
+ 添加服务主体(审计)
+ 硬删除服务主体(审计)
+ 移除服务主体(审计)
+ 同意应用程序授权(审计)
+ 新增应用程序(审计)
+ 为应用程序添加所有者(审计)
+ 硬删除应用程序(审计)
+ 删除应用程序(审计)
+ 更新应用程序(审计)
+ 更新应用程序 – 证书与密钥管理(审计)
+ 添加设备(审计)
+ 更新设备(审计)
+ 删除设备(审计)
+ 硬删除设备(审计)