Az - Monitoring

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Entra ID - Logs

Hay 3 tipos de registros disponibles en Entra ID:

  • Sign-in Logs: Los Sign-in Logs registran cada intento de autenticación, ya sea exitoso o fallido. Ofrecen detalles como direcciones IP, ubicaciones, información del dispositivo y las políticas de acceso condicional aplicadas, que son esenciales para monitorizar la actividad de usuarios y detectar comportamientos de inicio de sesión sospechosos o posibles amenazas de seguridad.
  • Audit Logs: Los Audit Logs proporcionan un registro de todos los cambios realizados en tu entorno Entra ID. Capturan, por ejemplo, actualizaciones a usuarios, grupos, roles o políticas. Estos registros son vitales para cumplimiento e investigaciones de seguridad, ya que permiten revisar quién hizo qué cambio y cuándo.
  • Provisioning Logs: Los Provisioning Logs proporcionan información sobre usuarios aprovisionados en tu tenant a través de un servicio de terceros (por ejemplo, directorios on‑premises o aplicaciones SaaS). Estos registros te ayudan a entender cómo se sincroniza la información de identidad.

Warning

Ten en cuenta que estos registros solo se almacenan durante 7 días en la versión gratuita, 30 días en las versiones P1/P2 y 60 días adicionales en security signals para actividad de inicio de sesión riesgosa. Sin embargo, ni siquiera un global admin podría modificarlos o eliminarlos antes.

Entra ID - Log Systems

  • Diagnostic Settings: Una Diagnostic Setting especifica una lista de categorías de logs de la plataforma y/o métricas que quieres recopilar desde un recurso, y uno o más destinos a los que se transmitirán. Se aplicarán los cargos habituales por uso del destino. Aprende más sobre las diferentes categorías de logs y el contenido de esos registros.
  • Destinations:
  • Analytics Workspace: Investigación a través de Azure Log Analytics y creación de alertas.
  • Storage account: Análisis estático y copia de seguridad.
  • Event hub: Transmitir datos a sistemas externos como SIEMs de terceros.
  • Monitor partner solutions: Integraciones especiales entre Azure Monitor y otras plataformas de monitorización no-Microsoft.
  • Workbooks: Workbooks combinan texto, consultas de logs, métricas y parámetros en informes interactivos y enriquecidos.
  • Usage & Insights: Útil para ver las actividades más comunes en Entra ID

Azure Monitor

Estas son las principales características de Azure Monitor:

  • Activity Logs: Azure Activity Logs capturan eventos a nivel de suscripción y operaciones de administración, proporcionándote una visión general de los cambios y acciones realizadas sobre tus recursos.
  • Activity Logs no pueden ser modificados ni eliminados.
  • Change Analysis: Change Analysis detecta y visualiza automáticamente cambios de configuración y estado en tus recursos de Azure para ayudar a diagnosticar problemas y rastrear modificaciones a lo largo del tiempo.
  • Alerts: Las Alerts de Azure Monitor son notificaciones automatizadas que se activan cuando se cumplen condiciones o umbrales especificados en tu entorno Azure.
  • Workbooks: Workbooks son dashboards interactivos y personalizables dentro de Azure Monitor que te permiten combinar y visualizar datos de diversas fuentes para un análisis completo.
  • Investigator: Investigator te ayuda a profundizar en datos de logs y alerts para realizar análisis en profundidad e identificar la causa de los incidentes.
  • Insights: Insights proporciona análisis, métricas de rendimiento y recomendaciones accionables (como las de Application Insights o VM Insights) para ayudarte a monitorizar y optimizar la salud y eficiencia de tus aplicaciones e infraestructura.

Log Analytics Workspaces

Log Analytics workspaces son repositorios centrales en Azure Monitor donde puedes recopilar, analizar y visualizar datos de logs y rendimiento de tus recursos de Azure y entornos on‑premises. Aquí están los puntos clave:

  • Centralized Data Storage: Sirven como la ubicación central para almacenar logs de diagnóstico, métricas de rendimiento y logs personalizados generados por tus aplicaciones y servicios.
  • Powerful Query Capabilities: Puedes ejecutar consultas usando Kusto Query Language (KQL) para analizar los datos, generar información y solucionar problemas.
  • Integration with Monitoring Tools: Los Log Analytics workspaces se integran con varios servicios de Azure (como Azure Monitor, Azure Sentinel y Application Insights), permitiéndote crear paneles, configurar alertas y obtener una visión completa de tu entorno.

En resumen, un Log Analytics workspace es esencial para monitorización avanzada, solución de problemas y análisis de seguridad en Azure.

Puedes configurar un recurso para enviar datos a un Analytics Workspace desde las Diagnostic Settings del recurso.

Graph vs ARM logging visibility (useful for OPSEC/hunting)

  • Microsoft Graph Activity Logs no están habilitados por defecto. Habilítalos y expórtalos (Event Hubs/Log Analytics/SIEM) para ver llamadas de lectura a Graph. Herramientas como AzureHound realizan un preflight GET a /v1.0/organization que aparecerá aquí; UA por defecto observado: azurehound/v2.x.x.
  • Los non-interactive sign-in logs de Entra ID registran la autenticación de la plataforma de identidad (login.microsoftonline.) utilizada por scripts/herramientas.
  • Las operaciones de lectura/listado del plano de control ARM (HTTP GET) generalmente no se registran en los Activity Logs. La visibilidad de las operaciones de lectura proviene de las Diagnostic Settings de los recursos para endpoints del data-plane únicamente (p. ej., *.blob.core.windows.net, *.vault.azure.net) y no de las llamadas del plano de control ARM a management.azure..
  • Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview) puede exponer llamadas a Graph e identificadores de tokens, pero puede omitir el UserAgent y tiene una retención predeterminada limitada.

Cuando busques actividad de AzureHound, correlaciona los Entra sign-in logs con los Graph Activity Logs por session ID, IP, user/object IDs, y busca ráfagas de peticiones a Graph junto con llamadas de administración ARM que carezcan de cobertura en los Activity Logs.

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

Referencias

Tip

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aprende y practica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks