HackTricks CloudAz - Monitoring
Reading time: 7 minutes
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: 
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।
Entra ID - Logs
Entra ID में 3 प्रकार के लॉग उपलब्ध हैं:
- Sign-in Logs: साइन-इन लॉग हर प्रमाणीकरण प्रयास का दस्तावेज़ीकरण करते हैं, चाहे वह सफल हो या असफल। वे IP पते, स्थान, डिवाइस जानकारी और लागू की गई शर्तीय पहुंच नीतियों जैसे विवरण प्रदान करते हैं, जो उपयोगकर्ता गतिविधि की निगरानी और संदिग्ध लॉगिन व्यवहार या संभावित सुरक्षा खतरों का पता लगाने के लिए आवश्यक हैं।
- Audit Logs: ऑडिट लॉग आपके Entra ID वातावरण में किए गए सभी परिवर्तनों का रिकॉर्ड प्रदान करते हैं। वे उपयोगकर्ताओं, समूहों, भूमिकाओं या नीतियों में अपडेट को कैप्चर करते हैं। ये लॉग अनुपालन और सुरक्षा जांच के लिए महत्वपूर्ण हैं, क्योंकि वे आपको यह समीक्षा करने की अनुमति देते हैं कि किसने क्या परिवर्तन किया और कब।
- Provisioning Logs: प्रोविजनिंग लॉग उन उपयोगकर्ताओं के बारे में जानकारी प्रदान करते हैं जो आपके टेनेट में एक तृतीय-पक्ष सेवा (जैसे ऑन-प्रिमाइसेस निर्देशिकाएँ या SaaS अनुप्रयोग) के माध्यम से प्रोविज़न किए गए हैं। ये लॉग आपको यह समझने में मदद करते हैं कि पहचान जानकारी कैसे समन्वयित की जाती है।
warning
ध्यान दें कि ये लॉग केवल 7 दिन के लिए मुफ्त संस्करण में, 30 दिन के लिए P1/P2 संस्करण में और जोखिमपूर्ण साइन-इन गतिविधि के लिए सुरक्षा संकेतों में 60 अतिरिक्त दिनों के लिए संग्रहीत होते हैं। हालाँकि, न ही एक वैश्विक व्यवस्थापक उन्हें पहले संशोधित या हटाने में सक्षम होगा।
Entra ID - Log Systems
- Diagnostic Settings: एक डायग्नोस्टिक सेटिंग प्लेटफ़ॉर्म लॉग और/या मैट्रिक्स की श्रेणियों की एक सूची निर्दिष्ट करती है जिसे आप एक संसाधन से एकत्र करना चाहते हैं, और एक या एक से अधिक गंतव्यों को जिन्हें आप उन्हें स्ट्रीम करेंगे। गंतव्य के लिए सामान्य उपयोग शुल्क लागू होंगे। उन लॉग की विभिन्न श्रेणियों और सामग्री के बारे में अधिक जानें।
- Destinations:
- Analytics Workspace: Azure Log Analytics के माध्यम से जांच करें और अलर्ट बनाएं।
- Storage account: स्थिर विश्लेषण और बैकअप।
- Event hub: डेटा को तृतीय-पक्ष SIEM जैसे बाहरी सिस्टम में स्ट्रीम करें।
- Monitor partner solutions: Azure Monitor और अन्य गैर-माइक्रोसॉफ्ट निगरानी प्लेटफार्मों के बीच विशेष एकीकरण।
- Workbooks: वर्कबुक्स टेक्स्ट, लॉग क्वेरी, मैट्रिक्स और पैरामीटर को समृद्ध इंटरैक्टिव रिपोर्ट में संयोजित करते हैं।
- Usage & Insights: Entra ID में सबसे सामान्य गतिविधियों को देखने के लिए उपयोगी।
Azure Monitor
Azure Monitor की मुख्य विशेषताएँ हैं:
- Activity Logs: Azure Activity Logs सदस्यता-स्तरीय घटनाओं और प्रबंधन संचालन को कैप्चर करते हैं, जिससे आपको अपने संसाधनों पर किए गए परिवर्तनों और कार्यों का अवलोकन मिलता है।
- Activily logs को संशोधित या हटाया नहीं जा सकता।
- Change Analysis: Change Analysis स्वचालित रूप से आपके Azure संसाधनों में कॉन्फ़िगरेशन और स्थिति परिवर्तनों का पता लगाता है और उन्हें दृश्य रूप में प्रस्तुत करता है ताकि समस्याओं का निदान करने और समय के साथ संशोधनों को ट्रैक करने में मदद मिल सके।
- Alerts: Azure Monitor से अलर्ट स्वचालित सूचनाएँ हैं जो तब सक्रिय होती हैं जब आपके Azure वातावरण में निर्दिष्ट शर्तें या थ्रेशोल्ड पूरे होते हैं।
- Workbooks: वर्कबुक्स Azure Monitor के भीतर इंटरैक्टिव, अनुकूलन योग्य डैशबोर्ड हैं जो आपको विभिन्न स्रोतों से डेटा को संयोजित और दृश्य रूप में प्रस्तुत करने की अनुमति देते हैं ताकि व्यापक विश्लेषण किया जा सके।
- Investigator: Investigator आपको लॉग डेटा और अलर्ट में गहराई से विश्लेषण करने और घटनाओं के कारण की पहचान करने में मदद करता है।
- Insights: Insights विश्लेषण, प्रदर्शन मैट्रिक्स, और क्रियाशील सिफारिशें (जैसे Application Insights या VM Insights में) प्रदान करते हैं ताकि आप अपने अनुप्रयोगों और अवसंरचना के स्वास्थ्य और दक्षता की निगरानी और अनुकूलन कर सकें।
Log Analytics Workspaces
Log Analytics कार्यक्षेत्र Azure Monitor में केंद्रीय भंडार हैं जहाँ आप अपने Azure संसाधनों और ऑन-प्रिमाइसेस वातावरण से लॉग और प्रदर्शन डेटा को एकत्र, विश्लेषण और दृश्य रूप में प्रस्तुत कर सकते हैं। यहाँ प्रमुख बिंदु हैं:
- Centralized Data Storage: ये निदान लॉग, प्रदर्शन मैट्रिक्स, और आपके अनुप्रयोगों और सेवाओं द्वारा उत्पन्न कस्टम लॉग को संग्रहीत करने के लिए केंद्रीय स्थान के रूप में कार्य करते हैं।
- Powerful Query Capabilities: आप डेटा का विश्लेषण करने, अंतर्दृष्टि उत्पन्न करने और समस्याओं का निदान करने के लिए Kusto Query Language (KQL) का उपयोग करके क्वेरी चला सकते हैं।
- Integration with Monitoring Tools: Log Analytics कार्यक्षेत्र विभिन्न Azure सेवाओं (जैसे Azure Monitor, Azure Sentinel, और Application Insights) के साथ एकीकृत होते हैं, जिससे आप डैशबोर्ड बना सकते हैं, अलर्ट सेट कर सकते हैं, और अपने वातावरण का व्यापक दृश्य प्राप्त कर सकते हैं।
संक्षेप में, एक Log Analytics कार्यक्षेत्र Azure में उन्नत निगरानी, समस्या निवारण, और सुरक्षा विश्लेषण के लिए आवश्यक है।
आप एक संसाधन को डायग्नोस्टिक सेटिंग्स से एक एनालिटिक्स कार्यक्षेत्र में डेटा भेजने के लिए कॉन्फ़िगर कर सकते हैं।
Enumeration
Entra ID
bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
Azure Monitor
bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।