Az - Monitoring

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Entra ID - Logs

Il existe 3 types de logs disponibles dans Entra ID :

  • Sign-in Logs : Les Sign-in Logs documentent chaque tentative d’authentification, rĂ©ussie ou Ă©chouĂ©e. Ils fournissent des dĂ©tails tels que les adresses IP, les emplacements, les informations sur l’appareil et les politiques d’accĂšs conditionnel appliquĂ©es, essentiels pour surveiller l’activitĂ© des utilisateurs et dĂ©tecter des comportements de connexion suspects ou des menaces potentielles.
  • Audit Logs : Les Audit Logs offrent un enregistrement de toutes les modifications effectuĂ©es dans votre environnement Entra ID. Ils capturent par exemple les mises Ă  jour des utilisateurs, groupes, rĂŽles ou politiques. Ces logs sont essentiels pour la conformitĂ© et les enquĂȘtes de sĂ©curitĂ©, car ils permettent de vĂ©rifier qui a effectuĂ© quelle modification et quand.
  • Provisioning Logs : Les Provisioning Logs fournissent des informations sur les utilisateurs provisionnĂ©s dans votre tenant via un service tiers (comme des annuaires on‑premises ou des applications SaaS). Ces logs aident Ă  comprendre comment les informations d’identitĂ© sont synchronisĂ©es.

Warning

Notez que ces logs ne sont conservĂ©s que pendant 7 days dans la version gratuite, 30 days dans les versions P1/P2 et 60 jours supplĂ©mentaires dans security signals pour l’activitĂ© de connexion risquĂ©e. Cependant, mĂȘme un global admin ne pourra pas les modifier ou supprimer plus tĂŽt.

Entra ID - Log Systems

  • Diagnostic Settings : Une Diagnostic Setting spĂ©cifie une liste de catĂ©gories de logs de plateforme et/ou de mĂ©triques que vous souhaitez collecter depuis une ressource, et une ou plusieurs destinations vers lesquelles vous souhaitez les diffuser. Des frais d’utilisation normaux pour la destination s’appliqueront. En savoir plus sur les diffĂ©rentes catĂ©gories de logs et le contenu de ces logs.
  • Destinations :
  • Analytics Workspace : Investigation via Azure Log Analytics et crĂ©ation d’alertes.
  • Storage account : Analyse statique et sauvegarde.
  • Event hub : Diffusion de donnĂ©es vers des systĂšmes externes comme des SIEM tiers.
  • Monitor partner solutions : IntĂ©grations spĂ©ciales entre Azure Monitor et d’autres plateformes de monitoring non-Microsoft.
  • Workbooks : Les Workbooks combinent texte, requĂȘtes de logs, mĂ©triques et paramĂštres en rapports interactifs riches.
  • Usage & Insights : Utile pour voir les activitĂ©s les plus courantes dans Entra ID

Azure Monitor

Voici les principales fonctionnalitĂ©s d’Azure Monitor :

  • Activity Logs : Les Azure Activity Logs capturent les Ă©vĂ©nements au niveau de l’abonnement et les opĂ©rations de gestion, offrant un aperçu des changements et des actions effectuĂ©es sur vos ressources.
  • Activity Logs ne peuvent pas ĂȘtre modifiĂ©s ou supprimĂ©s.
  • Change Analysis : Change Analysis dĂ©tecte et visualise automatiquement les changements de configuration et d’état Ă  travers vos ressources Azure pour aider Ă  diagnostiquer les problĂšmes et suivre les modifications dans le temps.
  • Alerts : Les Alerts d’Azure Monitor sont des notifications automatisĂ©es dĂ©clenchĂ©es lorsque des conditions ou seuils spĂ©cifiĂ©s sont atteints dans votre environnement Azure.
  • Workbooks : Les Workbooks sont des tableaux de bord interactifs et personnalisables dans Azure Monitor qui vous permettent de combiner et visualiser des donnĂ©es de diffĂ©rentes sources pour une analyse complĂšte.
  • Investigator : Investigator vous aide Ă  approfondir les donnĂ©es de logs et les alertes pour mener des analyses approfondies et identifier la cause des incidents.
  • Insights : Insights fournissent des analyses, des mĂ©triques de performance et des recommandations actionnables (comme dans Application Insights ou VM Insights) pour vous aider Ă  surveiller et optimiser la santĂ© et l’efficacitĂ© de vos applications et de votre infrastructure.

Log Analytics Workspaces

Log Analytics workspaces sont des rĂ©fĂ©rentiels centraux dans Azure Monitor oĂč vous pouvez collecter, analyser et visualiser les donnĂ©es de logs et de performance provenant de vos ressources Azure et de vos environnements on‑premises. Voici les points clĂ©s :

  • Centralized Data Storage : Ils servent d’emplacement central pour stocker les diagnostic logs, les mĂ©triques de performance et les logs personnalisĂ©s gĂ©nĂ©rĂ©s par vos applications et services.
  • Powerful Query Capabilities : Vous pouvez exĂ©cuter des requĂȘtes en utilisant Kusto Query Language (KQL) pour analyser les donnĂ©es, gĂ©nĂ©rer des insights et dĂ©panner des problĂšmes.
  • Integration with Monitoring Tools : Les Log Analytics workspaces s’intĂšgrent avec divers services Azure (comme Azure Monitor, Azure Sentinel et Application Insights) vous permettant de crĂ©er des tableaux de bord, configurer des alertes et obtenir une vue complĂšte de votre environnement.

En rĂ©sumĂ©, un Log Analytics workspace est essentiel pour le monitoring avancĂ©, le dĂ©pannage et l’analyse de sĂ©curitĂ© dans Azure.

Vous pouvez configurer une ressource pour envoyer des données vers un analytics workspace depuis les diagnostic settings de la ressource.

Graph vs ARM logging visibility (useful for OPSEC/hunting)

  • Microsoft Graph Activity Logs ne sont pas activĂ©s par dĂ©faut. Activez‑les et exportez‑les (Event Hubs/Log Analytics/SIEM) pour voir les appels de lecture Graph. Des outils comme AzureHound effectuent un GET de pré‑vol vers /v1.0/organization qui apparaĂźtra ici ; UA par dĂ©faut observĂ© : azurehound/v2.x.x.
  • Les non‑interactive sign‑in logs d’Entra ID enregistrent l’authentification de la plateforme d’identitĂ© (login.microsoftonline.) utilisĂ©e par les scripts/outils.
  • Les opĂ©rations de lecture/list (HTTP GET) du control‑plane ARM ne sont gĂ©nĂ©ralement pas Ă©crites dans les Activity Logs. La visibilitĂ© des opĂ©rations de lecture provient des Diagnostic Settings de la ressource pour les endpoints data‑plane uniquement (par ex., *.blob.core.windows.net, *.vault.azure.net) et non des appels control‑plane ARM vers management.azure..
  • Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview) peut exposer les appels Graph et les identifiants de token mais peut omettre le UserAgent et a une rĂ©tention par dĂ©faut limitĂ©e.

Lorsque vous chassez AzureHound, corrĂ©lez les sign‑in logs d’Entra avec les Graph Activity Logs sur l’ID de session, l’IP, les IDs utilisateur/objet, et recherchez des rafales de requĂȘtes Graph ainsi que des appels de gestion ARM qui n’ont pas de couverture dans les Activity Logs.

ÉnumĂ©ration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks