Az - Monitoring

Reading time: 7 minutes

Entra ID - Logs

Il existe 3 types de journaux disponibles dans Entra ID :

• Sign-in Logs : Les journaux de connexion documentent chaque tentative d'authentification, qu'elle soit réussie ou échouée. Ils offrent des détails tels que les adresses IP, les emplacements, les informations sur les appareils et les politiques d'accès conditionnel appliquées, qui sont essentielles pour surveiller l'activité des utilisateurs et détecter un comportement de connexion suspect ou des menaces potentielles pour la sécurité.
• Audit Logs : Les journaux d'audit fournissent un enregistrement de tous les changements effectués dans votre environnement Entra ID. Ils capturent les mises à jour des utilisateurs, des groupes, des rôles ou des politiques, par exemple. Ces journaux sont vitaux pour la conformité et les enquêtes de sécurité, car ils vous permettent de revoir qui a effectué quel changement et quand.
• Provisioning Logs : Les journaux de provisionnement fournissent des informations sur les utilisateurs provisionnés dans votre locataire via un service tiers (tel que des annuaires sur site ou des applications SaaS). Ces journaux vous aident à comprendre comment les informations d'identité sont synchronisées.

Entra ID - Log Systems

• Diagnostic Settings : Un paramètre de diagnostic spécifie une liste de catégories de journaux de plateforme et/ou de métriques que vous souhaitez collecter à partir d'une ressource, et une ou plusieurs destinations vers lesquelles vous souhaitez les diffuser. Des frais d'utilisation normaux pour la destination s'appliqueront. En savoir plus sur les différentes catégories de journaux et le contenu de ces journaux.
• Destinations :
• Analytics Workspace : Enquête via Azure Log Analytics et création d'alertes.
• Storage account : Analyse statique et sauvegarde.
• Event hub : Diffusion de données vers des systèmes externes comme des SIEM tiers.
• Monitor partner solutions : Intégrations spéciales entre Azure Monitor et d'autres plateformes de surveillance non-Microsoft.
• Workbooks : Les workbooks combinent du texte, des requêtes de journaux, des métriques et des paramètres en rapports interactifs riches.
• Usage & Insights : Utile pour voir les activités les plus courantes dans Entra ID.

Azure Monitor

Voici les principales fonctionnalités d'Azure Monitor :

• Activity Logs : Les journaux d'activité Azure capturent les événements au niveau de l'abonnement et les opérations de gestion, vous donnant un aperçu des changements et des actions effectuées sur vos ressources.
• Activily logs ne peuvent pas être modifiés ou supprimés.
• Change Analysis : L'analyse des changements détecte et visualise automatiquement les changements de configuration et d'état de vos ressources Azure pour aider à diagnostiquer les problèmes et suivre les modifications au fil du temps.
• Alerts : Les alertes d'Azure Monitor sont des notifications automatisées déclenchées lorsque des conditions ou des seuils spécifiés sont atteints dans votre environnement Azure.
• Workbooks : Les workbooks sont des tableaux de bord interactifs et personnalisables au sein d'Azure Monitor qui vous permettent de combiner et de visualiser des données provenant de diverses sources pour une analyse complète.
• Investigator : Investigator vous aide à explorer les données de journaux et les alertes pour effectuer une analyse approfondie et identifier la cause des incidents.
• Insights : Insights fournissent des analyses, des métriques de performance et des recommandations exploitables (comme celles dans Application Insights ou VM Insights) pour vous aider à surveiller et à optimiser la santé et l'efficacité de vos applications et infrastructures.

Log Analytics Workspaces

Les espaces de travail Log Analytics sont des dépôts centraux dans Azure Monitor où vous pouvez collecter, analyser et visualiser des données de journaux et de performance de vos ressources Azure et de vos environnements sur site. Voici les points clés :

• Centralized Data Storage : Ils servent de lieu central pour stocker les journaux de diagnostic, les métriques de performance et les journaux personnalisés générés par vos applications et services.
• Powerful Query Capabilities : Vous pouvez exécuter des requêtes en utilisant le Kusto Query Language (KQL) pour analyser les données, générer des insights et résoudre des problèmes.
• Integration with Monitoring Tools : Les espaces de travail Log Analytics s'intègrent à divers services Azure (tels qu'Azure Monitor, Azure Sentinel et Application Insights) vous permettant de créer des tableaux de bord, de configurer des alertes et d'obtenir une vue complète de votre environnement.

En résumé, un espace de travail Log Analytics est essentiel pour une surveillance avancée, le dépannage et l'analyse de sécurité dans Azure.

Vous pouvez configurer une ressource pour envoyer des données à un espace de travail d'analyse à partir des paramètres de diagnostic de la ressource.

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table