Az - Monitoring

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Entra ID - Logs

Es gibt 3 Arten von Logs, die in Entra ID verfügbar sind:

• Sign-in Logs: Sign-in Logs dokumentieren jeden Authentifizierungsversuch, ob erfolgreich oder fehlgeschlagen. Sie liefern Details wie IP-Adressen, Standorte, Geräteinformationen und angewendete Conditional Access-Policies, die für die Überwachung von Benutzeraktivität und das Erkennen verdächtiger Anmeldeverhalten oder potenzieller Sicherheitsbedrohungen wesentlich sind.
• Audit Logs: Audit Logs bieten eine Aufzeichnung aller Änderungen innerhalb Ihrer Entra ID-Umgebung. Sie erfassen z. B. Aktualisierungen an Benutzern, Gruppen, Rollen oder Richtlinien. Diese Logs sind für Compliance- und Sicherheitsuntersuchungen wichtig, da sie zeigen, wer welche Änderung wann vorgenommen hat.
• Provisioning Logs: Provisioning Logs liefern Informationen über Benutzer, die in Ihrem Tenant über einen Drittanbieterdienst (z. B. On-Premises-Verzeichnisse oder SaaS-Anwendungen) bereitgestellt wurden. Diese Logs helfen zu verstehen, wie Identitätsinformationen synchronisiert werden.

Warning

Beachten Sie, dass diese Logs in der kostenlosen Version nur 7 Tage gespeichert werden, in der P1/P2-Version 30 Tage und zusätzlich 60 Tage in security signals für risky signin activity. Dennoch wäre nicht einmal ein globaler Admin in der Lage, diese früher zu ändern oder zu löschen.

Entra ID - Log Systems

• Diagnostic Settings: Eine Diagnostic Setting legt eine Liste von Kategorien von Plattform-Logs und/oder Metriken fest, die Sie von einer Ressource sammeln möchten, sowie ein oder mehrere Ziele, zu denen Sie diese streamen. Für das Ziel fallen normale Nutzungsgebühren an. Erfahren Sie mehr über die verschiedenen Logkategorien und den Inhalt dieser Logs.
• Destinations:
• Analytics Workspace: Investigation through Azure Log Analytics und das Erstellen von Alerts.
• Storage account: Statische Analyse und Backup.
• Event hub: Streamen von Daten zu externen Systemen wie Drittanbieter-SIEMs.
• Monitor partner solutions: Spezielle Integrationen zwischen Azure Monitor und anderen nicht‑Microsoft Monitoring‑Plattformen.
• Workbooks: Workbooks kombinieren Text, Log‑Queries, Metriken und Parameter in reichhaltige interaktive Reports.
• Usage & Insights: Nützlich, um die häufigsten Aktivitäten in Entra ID zu sehen.

Azure Monitor

Dies sind die Hauptfunktionen von Azure Monitor:

• Activity Logs: Azure Activity Logs erfassen ereignis‑ und abonnementbezogene Operationen auf Management‑Ebene und geben einen Überblick über Änderungen und Aktionen an Ihren Ressourcen.
• Activily logs können nicht modifiziert oder gelöscht werden.
• Change Analysis: Change Analysis erkennt und visualisiert automatisch Konfigurations‑ und Statusänderungen über Ihre Azure‑Ressourcen hinweg, um bei der Diagnose von Problemen und der Nachverfolgung von Änderungen im Zeitverlauf zu helfen.
• Alerts: Alerts von Azure Monitor sind automatisierte Benachrichtigungen, die ausgelöst werden, wenn festgelegte Bedingungen oder Schwellenwerte in Ihrer Azure‑Umgebung erreicht werden.
• Workbooks: Workbooks sind interaktive, anpassbare Dashboards innerhalb von Azure Monitor, mit denen Sie Daten aus verschiedenen Quellen kombinieren und visualisieren können, um umfassende Analysen zu ermöglichen.
• Investigator: Investigator hilft Ihnen, in Log‑Daten und Alerts einzutauchen, um tiefgehende Analysen durchzuführen und die Ursachen von Vorfällen zu identifizieren.
• Insights: Insights liefern Analysen, Performance‑Metriken und umsetzbare Empfehlungen (wie in Application Insights oder VM Insights), um die Gesundheit und Effizienz Ihrer Anwendungen und Infrastruktur zu überwachen und zu optimieren.

Log Analytics Workspaces

Log Analytics workspaces sind zentrale Repositorien in Azure Monitor, in denen Sie Log‑ und Performance‑Daten von Ihren Azure‑Ressourcen und On‑Premises‑Umgebungen sammeln, analysieren und visualisieren können. Hier die wichtigsten Punkte:

• Centralized Data Storage: Sie dienen als zentraler Ort zur Speicherung von Diagnostic Logs, Performance‑Metriken und benutzerdefinierten Logs, die von Ihren Anwendungen und Diensten erzeugt werden.
• Powerful Query Capabilities: Sie können Abfragen mit der Kusto Query Language (KQL) ausführen, um die Daten zu analysieren, Erkenntnisse zu gewinnen und Probleme zu beheben.
• Integration with Monitoring Tools: Log Analytics workspaces integrieren sich mit verschiedenen Azure‑Diensten (z. B. Azure Monitor, Azure Sentinel und Application Insights) und ermöglichen Ihnen, Dashboards zu erstellen, Alerts einzurichten und einen umfassenden Überblick über Ihre Umgebung zu erhalten.

Zusammengefasst ist ein Log Analytics workspace für fortgeschrittenes Monitoring, Troubleshooting und Sicherheitsanalysen in Azure unerlässlich.

Sie können eine Ressource so konfigurieren, dass sie Daten von den diagnostic settings der Ressource an ein analytics workspace sendet.

Graph vs ARM logging visibility (useful for OPSEC/hunting)

• Microsoft Graph Activity Logs sind standardmäßig nicht aktiviert. Aktivieren und exportieren Sie sie (Event Hubs/Log Analytics/SIEM), um Graph‑Read‑Calls zu sehen. Tools wie AzureHound führen einen Preflight‑GET an /v1.0/organization durch, der hier auftauchen wird; beobachteter Default‑UA: azurehound/v2.x.x.
• Entra ID non‑interactive sign‑in logs zeichnen die Identity Platform‑Authentifizierung (login.microsoftonline.) auf, die von Skripten/Tools verwendet wird.
• ARM control‑plane read/list (HTTP GET) Operationen werden in der Regel nicht in Activity Logs geschrieben. Die Sichtbarkeit von Read‑Operationen kommt nur von Resource Diagnostic Settings für Data‑Plane Endpunkte (z. B. *.blob.core.windows.net, *.vault.azure.net) und nicht von ARM Control‑Plane Aufrufen an management.azure..
• Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview) kann Graph‑Aufrufe und Token‑Identifier offenbaren, lässt aber möglicherweise UserAgent weg und hat eine begrenzte Standard‑Retention.

Beim Hunting nach AzureHound korrelieren Sie Entra sign‑in logs mit Graph Activity Logs anhand von session ID, IP, Benutzer/Object‑IDs und achten auf Burst‑Muster von Graph‑Requests zusammen mit ARM‑Management‑Aufrufen, die keine Activity Log‑Abdeckung haben.

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

Quellen

• Cloud Discovery With AzureHound (Unit 42)

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.