Az - Monitoring

Reading time: 8 minutes

Entra ID - Logs

Entra ID में 3 प्रकार के लॉग उपलब्ध हैं:

• Sign-in Logs: Sign-in Logs हर authentication प्रयास को दस्तावेज़ करते हैं, चाहे सफल हो या असफल। ये IP पते, स्थान, डिवाइस जानकारी और लागू conditional access policies जैसी जानकारियाँ देते हैं, जो user activity मॉनिटर करने और संदिग्ध लॉगिन व्यवहार या संभावित सुरक्षा खतरों का पता लगाने के लिए ज़रूरी हैं।
• Audit Logs: Audit Logs आपके Entra ID वातावरण में किए गए सभी बदलावों का रिकॉर्ड रखते हैं। ये users, groups, roles, या policies में किए गए अपडेट को कैप्चर करते हैं। ये लॉग compliance और सुरक्षा जांच के लिए महत्व रखते हैं, क्योंकि ये आपको यह देखने देते हैं कि किसने क्या बदलाव किया और कब किया।
• Provisioning Logs: Provisioning Logs उन users के बारे में जानकारी देते हैं जो आपके tenant में किसी third-party सेवा (जैसे on-premises directories या SaaS applications) के माध्यम से provision किए गए हैं। ये लॉग यह समझने में मदद करते हैं कि identity जानकारी कैसे synchronize की जा रही है।

Entra ID - Log Systems

• Diagnostic Settings: Diagnostic setting यह निर्दिष्ट करती है कि किसी resource से किन platform logs और/या metrics की categories आप collect करना चाहते हैं, और उन डेस्टिनेशन्स की सूची जिनपर आप इन्हें stream करना चाहते हैं। डेस्टिनेशन के सामान्य उपयोग शुल्क लागू होंगे। विभिन्न log categories और उन लॉग्स की सामग्री के बारे में और जानें।
• Destinations:
• Analytics Workspace: Azure Log Analytics के माध्यम से investigation और alerts बनाना।
• Storage account: Static analysis और बैकअप के लिए।
• Event hub: डेटा को third-party SIEMs जैसे external systems पर stream करना।
• Monitor partner solutions: Azure Monitor और अन्य non-Microsoft monitoring प्लेटफ़ॉर्म के बीच विशेष integrations।
• Workbooks: Workbooks टेक्स्ट, log queries, metrics, और parameters को समृद्ध interactive रिपोर्टों में मिलाते हैं।
• Usage & Insights: Entra ID में सबसे सामान्य गतिविधियों को देखने के लिए उपयोगी

Azure Monitor

Azure Monitor की मुख्य सुविधाएँ:

• Activity Logs: Azure Activity Logs subscription‑level events और management operations को कैप्चर करते हैं, जो आपको आपके resources पर किए गए बदलावों और कार्रवाइयों का अवलोकन देते हैं।
• Activity logs को modify या delete नहीं किया जा सकता।
• Change Analysis: Change Analysis स्वचालित रूप से आपके Azure resources में configuration और state बदलावों का पता लगाती और visualize करती है, जिससे समस्याओं का निदान और समय के साथ संशोधनों को ट्रैक करना आसान होता है।
• Alerts: Azure Monitor से Alerts स्वचालित सूचनाएँ हैं जो तब ट्रिगर होती हैं जब आपके Azure environment में निर्दिष्ट स्थितियाँ या thresholds पूर्ण होते हैं।
• Workbooks: Workbooks interactive, customizable dashboards हैं जो Azure Monitor के भीतर विभिन्न स्रोतों से डेटा को मिलाकर visualize करने और व्यापक विश्लेषण के लिए सक्षम बनाते हैं।
• Investigator: Investigator आपको log data और alerts में गहराई से देखने में मदद करता है ताकि incidents के कारण की पहचान की जा सके।
• Insights: Insights analytics, performance metrics, और actionable recommendations प्रदान करते हैं (जैसे Application Insights या VM Insights) ताकि आप अपने applications और infrastructure के health और efficiency को मॉनिटर और optimize कर सकें।

Log Analytics Workspaces

Log Analytics workspaces Azure Monitor में केंद्रीय रिपॉजिटरी हैं जहाँ आप अपने Azure resources और on‑premises environments से log और performance डेटा collect, analyze, और visualize कर सकते हैं। प्रमुख बिंदु:

• Centralized Data Storage: ये diagnostic logs, performance metrics, और आपके applications और services द्वारा जनरेट किए गए custom logs को स्टोर करने के लिए केंद्रीय स्थान के रूप में काम करते हैं।
• Powerful Query Capabilities: आप Kusto Query Language (KQL) का उपयोग करके डेटा पर queries चला सकते हैं, insights जनरेट कर सकते हैं, और issues troubleshoot कर सकते हैं।
• Integration with Monitoring Tools: Log Analytics workspaces विभिन्न Azure सेवाओं (जैसे Azure Monitor, Azure Sentinel, और Application Insights) के साथ integrate होते हैं, जिससे आप dashboards बना सकते हैं, alerts सेट कर सकते हैं, और अपने environment का व्यापक दृश्य प्राप्त कर सकते हैं।

सार में, एक Log Analytics workspace Azure में advanced monitoring, troubleshooting, और security analysis के लिए आवश्यक है।

आप किसी resource को analytics workspace में डेटा भेजने के लिए resource की diagnostic settings से कॉन्फ़िगर कर सकते हैं।

Graph vs ARM logging visibility (useful for OPSEC/hunting)

• Microsoft Graph Activity Logs डिफ़ॉल्ट रूप से enabled नहीं होते। Graph read calls देखने के लिए उन्हें enable करें और export करें (Event Hubs/Log Analytics/SIEM)। AzureHound जैसे टूल /v1.0/organization पर एक preflight GET करते हैं जो यहाँ दिखाई देगा; डिफ़ॉल्ट observed UA: azurehound/v2.x.x.
• Entra ID non-interactive sign-in logs उस identity platform authentication (login.microsoftonline.) को रिकॉर्ड करते हैं जिसका उपयोग scripts/tools द्वारा किया जाता है।
• ARM control-plane read/list (HTTP GET) operations आम तौर पर Activity Logs में नहीं लिखे जाते। read operations की visibility केवल resource Diagnostic Settings से data-plane endpoints (उदा., *.blob.core.windows.net, *.vault.azure.net) के लिए आती है, और management.azure. पर किए गए ARM control‑plane calls से नहीं।
• Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview) Graph calls और token identifiers को उजागर कर सकता है पर यह UserAgent को छोड़ सकता है और इसकी default retention सीमित होती है।

AzureHound की hunting करते समय, Entra sign-in logs को Graph Activity Logs के साथ session ID, IP, user/object IDs पर correlate करें, और Graph requests के bursts और उन ARM management कॉल्स की तलाश करें जिनकी Activity Log कवरिंग नहीं होती।

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

संदर्भ

• Cloud Discovery With AzureHound (Unit 42)