Az - Monitoring

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

Entra ID - Logs

Il existe 3 types de logs disponibles dans Entra ID :

  • Sign-in Logs : Les Sign-in Logs documentent chaque tentative d’authentification, réussie ou échouée. Ils fournissent des détails tels que les adresses IP, les emplacements, les informations sur l’appareil et les politiques d’accès conditionnel appliquées, essentiels pour surveiller l’activité des utilisateurs et détecter des comportements de connexion suspects ou des menaces potentielles.
  • Audit Logs : Les Audit Logs offrent un enregistrement de toutes les modifications effectuées dans votre environnement Entra ID. Ils capturent par exemple les mises à jour des utilisateurs, groupes, rôles ou politiques. Ces logs sont essentiels pour la conformité et les enquêtes de sécurité, car ils permettent de vérifier qui a effectué quelle modification et quand.
  • Provisioning Logs : Les Provisioning Logs fournissent des informations sur les utilisateurs provisionnés dans votre tenant via un service tiers (comme des annuaires on‑premises ou des applications SaaS). Ces logs aident à comprendre comment les informations d’identité sont synchronisées.

Warning

Notez que ces logs ne sont conservés que pendant 7 days dans la version gratuite, 30 days dans les versions P1/P2 et 60 jours supplémentaires dans security signals pour l’activité de connexion risquée. Cependant, même un global admin ne pourra pas les modifier ou supprimer plus tôt.

Entra ID - Log Systems

  • Diagnostic Settings : Une Diagnostic Setting spécifie une liste de catégories de logs de plateforme et/ou de métriques que vous souhaitez collecter depuis une ressource, et une ou plusieurs destinations vers lesquelles vous souhaitez les diffuser. Des frais d’utilisation normaux pour la destination s’appliqueront. En savoir plus sur les différentes catégories de logs et le contenu de ces logs.
  • Destinations :
  • Analytics Workspace : Investigation via Azure Log Analytics et création d’alertes.
  • Storage account : Analyse statique et sauvegarde.
  • Event hub : Diffusion de données vers des systèmes externes comme des SIEM tiers.
  • Monitor partner solutions : Intégrations spéciales entre Azure Monitor et d’autres plateformes de monitoring non-Microsoft.
  • Workbooks : Les Workbooks combinent texte, requêtes de logs, métriques et paramètres en rapports interactifs riches.
  • Usage & Insights : Utile pour voir les activités les plus courantes dans Entra ID

Azure Monitor

Voici les principales fonctionnalités d’Azure Monitor :

  • Activity Logs : Les Azure Activity Logs capturent les événements au niveau de l’abonnement et les opérations de gestion, offrant un aperçu des changements et des actions effectuées sur vos ressources.
  • Activity Logs ne peuvent pas être modifiés ou supprimés.
  • Change Analysis : Change Analysis détecte et visualise automatiquement les changements de configuration et d’état à travers vos ressources Azure pour aider à diagnostiquer les problèmes et suivre les modifications dans le temps.
  • Alerts : Les Alerts d’Azure Monitor sont des notifications automatisées déclenchées lorsque des conditions ou seuils spécifiés sont atteints dans votre environnement Azure.
  • Workbooks : Les Workbooks sont des tableaux de bord interactifs et personnalisables dans Azure Monitor qui vous permettent de combiner et visualiser des données de différentes sources pour une analyse complète.
  • Investigator : Investigator vous aide à approfondir les données de logs et les alertes pour mener des analyses approfondies et identifier la cause des incidents.
  • Insights : Insights fournissent des analyses, des métriques de performance et des recommandations actionnables (comme dans Application Insights ou VM Insights) pour vous aider à surveiller et optimiser la santé et l’efficacité de vos applications et de votre infrastructure.

Log Analytics Workspaces

Log Analytics workspaces sont des référentiels centraux dans Azure Monitor où vous pouvez collecter, analyser et visualiser les données de logs et de performance provenant de vos ressources Azure et de vos environnements on‑premises. Voici les points clés :

  • Centralized Data Storage : Ils servent d’emplacement central pour stocker les diagnostic logs, les métriques de performance et les logs personnalisés générés par vos applications et services.
  • Powerful Query Capabilities : Vous pouvez exécuter des requêtes en utilisant Kusto Query Language (KQL) pour analyser les données, générer des insights et dépanner des problèmes.
  • Integration with Monitoring Tools : Les Log Analytics workspaces s’intègrent avec divers services Azure (comme Azure Monitor, Azure Sentinel et Application Insights) vous permettant de créer des tableaux de bord, configurer des alertes et obtenir une vue complète de votre environnement.

En résumé, un Log Analytics workspace est essentiel pour le monitoring avancé, le dépannage et l’analyse de sécurité dans Azure.

Vous pouvez configurer une ressource pour envoyer des données vers un analytics workspace depuis les diagnostic settings de la ressource.

Graph vs ARM logging visibility (useful for OPSEC/hunting)

  • Microsoft Graph Activity Logs ne sont pas activés par défaut. Activez‑les et exportez‑les (Event Hubs/Log Analytics/SIEM) pour voir les appels de lecture Graph. Des outils comme AzureHound effectuent un GET de pré‑vol vers /v1.0/organization qui apparaîtra ici ; UA par défaut observé : azurehound/v2.x.x.
  • Les non‑interactive sign‑in logs d’Entra ID enregistrent l’authentification de la plateforme d’identité (login.microsoftonline.) utilisée par les scripts/outils.
  • Les opérations de lecture/list (HTTP GET) du control‑plane ARM ne sont généralement pas écrites dans les Activity Logs. La visibilité des opérations de lecture provient des Diagnostic Settings de la ressource pour les endpoints data‑plane uniquement (par ex., *.blob.core.windows.net, *.vault.azure.net) et non des appels control‑plane ARM vers management.azure..
  • Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview) peut exposer les appels Graph et les identifiants de token mais peut omettre le UserAgent et a une rétention par défaut limitée.

Lorsque vous chassez AzureHound, corrélez les sign‑in logs d’Entra avec les Graph Activity Logs sur l’ID de session, l’IP, les IDs utilisateur/objet, et recherchez des rafales de requêtes Graph ainsi que des appels de gestion ARM qui n’ont pas de couverture dans les Activity Logs.

Énumération

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

Références

Tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks