Az - Monitoring

Reading time: 6 minutes

Entra ID - Protokolle

Es gibt 3 Arten von Protokollen in Entra ID:

• Anmeldeprotokolle: Anmeldeprotokolle dokumentieren jeden Authentifizierungsversuch, unabhängig davon, ob er erfolgreich oder fehlgeschlagen ist. Sie bieten Details wie IP-Adressen, Standorte, Geräteinformationen und angewandte bedingte Zugriffsrichtlinien, die für die Überwachung der Benutzeraktivität und die Erkennung verdächtiger Anmeldeverhalten oder potenzieller Sicherheitsbedrohungen unerlässlich sind.
• Audit-Protokolle: Audit-Protokolle bieten einen Nachweis über alle Änderungen, die in Ihrer Entra ID-Umgebung vorgenommen wurden. Sie erfassen beispielsweise Aktualisierungen von Benutzern, Gruppen, Rollen oder Richtlinien. Diese Protokolle sind entscheidend für Compliance- und Sicherheitsuntersuchungen, da sie es Ihnen ermöglichen, zu überprüfen, wer welche Änderung wann vorgenommen hat.
• Bereitstellungsprotokolle: Bereitstellungsprotokolle bieten Informationen über Benutzer, die über einen Drittanbieterdienst (wie lokale Verzeichnisse oder SaaS-Anwendungen) in Ihrem Mandanten bereitgestellt wurden. Diese Protokolle helfen Ihnen zu verstehen, wie Identitätsinformationen synchronisiert werden.

Entra ID - Protokollsysteme

• Diagnostikeinstellungen: Eine Diagnostikeinstellung gibt eine Liste von Kategorien von Plattformprotokollen und/oder Metriken an, die Sie von einer Ressource sammeln möchten, sowie ein oder mehrere Ziele, an die Sie diese streamen möchten. Es fallen normale Nutzungskosten für das Ziel an. Erfahren Sie mehr über die verschiedenen Protokollkategorien und deren Inhalte.
• Ziele:
• Analytics-Arbeitsbereich: Untersuchung über Azure Log Analytics und Erstellung von Warnungen.
• Speicherkonto: Statische Analyse und Backup.
• Event-Hub: Daten an externe Systeme wie Drittanbieter-SIEMs streamen.
• Überwachungspartnerlösungen: Besondere Integrationen zwischen Azure Monitor und anderen Nicht-Microsoft-Überwachungsplattformen.
• Workbooks: Workbooks kombinieren Text, Protokollabfragen, Metriken und Parameter in reichhaltigen interaktiven Berichten.
• Nutzung & Einblicke: Nützlich, um die häufigsten Aktivitäten in Entra ID zu sehen.

Azure Monitor

Dies sind die Hauptmerkmale von Azure Monitor:

• Aktivitätsprotokolle: Azure Aktivitätsprotokolle erfassen Ereignisse und Verwaltungsoperationen auf Abonnementebene und geben Ihnen einen Überblick über Änderungen und Aktionen, die an Ihren Ressourcen vorgenommen wurden.
• Aktivitätsprotokolle können nicht geändert oder gelöscht werden.
• Änderungsanalyse: Die Änderungsanalyse erkennt und visualisiert automatisch Konfigurations- und Statusänderungen in Ihren Azure-Ressourcen, um Probleme zu diagnostizieren und Änderungen im Laufe der Zeit nachzuverfolgen.
• Warnungen: Warnungen von Azure Monitor sind automatisierte Benachrichtigungen, die ausgelöst werden, wenn bestimmte Bedingungen oder Schwellenwerte in Ihrer Azure-Umgebung erfüllt sind.
• Workbooks: Workbooks sind interaktive, anpassbare Dashboards innerhalb von Azure Monitor, die es Ihnen ermöglichen, Daten aus verschiedenen Quellen zu kombinieren und zu visualisieren, um eine umfassende Analyse durchzuführen.
• Ermittler: Der Ermittler hilft Ihnen, in Protokolldaten und Warnungen einzutauchen, um tiefgehende Analysen durchzuführen und die Ursache von Vorfällen zu identifizieren.
• Einblicke: Einblicke bieten Analysen, Leistungsmetriken und umsetzbare Empfehlungen (wie die in Application Insights oder VM Insights), um Ihnen zu helfen, die Gesundheit und Effizienz Ihrer Anwendungen und Infrastruktur zu überwachen und zu optimieren.

Log Analytics-Arbeitsbereiche

Log Analytics-Arbeitsbereiche sind zentrale Repositories in Azure Monitor, in denen Sie Protokoll- und Leistungsdaten von Ihren Azure-Ressourcen und lokalen Umgebungen sammeln, analysieren und visualisieren können. Hier sind die wichtigsten Punkte:

• Zentralisierte Datenspeicherung: Sie dienen als zentraler Ort zur Speicherung von Diagnoseloggen, Leistungsmetriken und benutzerdefinierten Protokollen, die von Ihren Anwendungen und Diensten generiert werden.
• Leistungsstarke Abfragefähigkeiten: Sie können Abfragen mit der Kusto Query Language (KQL) ausführen, um die Daten zu analysieren, Einblicke zu generieren und Probleme zu beheben.
• Integration mit Überwachungstools: Log Analytics-Arbeitsbereiche integrieren sich mit verschiedenen Azure-Diensten (wie Azure Monitor, Azure Sentinel und Application Insights), sodass Sie Dashboards erstellen, Warnungen einrichten und einen umfassenden Überblick über Ihre Umgebung erhalten können.

Zusammenfassend ist ein Log Analytics-Arbeitsbereich für fortgeschrittene Überwachung, Fehlersuche und Sicherheitsanalysen in Azure unerlässlich.

Sie können eine Ressource so konfigurieren, dass sie Daten an einen Analytics-Arbeitsbereich aus den Diagnostikeinstellungen der Ressource sendet.

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table