HackTricks CloudAz - Monitoring
Reading time: 6 minutes
tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.
Entra ID - Logs
Ci sono 3 tipi di log disponibili in Entra ID:
- Sign-in Logs: I log di accesso documentano ogni tentativo di autenticazione, sia riuscito che fallito. Offrono dettagli come indirizzi IP, posizioni, informazioni sui dispositivi e politiche di accesso condizionale applicate, che sono essenziali per monitorare l'attività degli utenti e rilevare comportamenti di accesso sospetti o potenziali minacce alla sicurezza.
- Audit Logs: I log di audit forniscono un record di tutte le modifiche apportate all'interno del tuo ambiente Entra ID. Catturano aggiornamenti a utenti, gruppi, ruoli o politiche, ad esempio. Questi log sono vitali per la conformità e le indagini sulla sicurezza, poiché ti permettono di rivedere chi ha apportato quale modifica e quando.
- Provisioning Logs: I log di provisioning forniscono informazioni sugli utenti provisionati nel tuo tenant tramite un servizio di terze parti (come directory on-premises o applicazioni SaaS). Questi log ti aiutano a comprendere come le informazioni sull'identità vengono sincronizzate.
warning
Nota che questi log sono conservati solo per 7 giorni nella versione gratuita, 30 giorni nella versione P1/P2 e 60 giorni aggiuntivi nei segnali di sicurezza per attività di accesso rischiose. Tuttavia, nemmeno un amministratore globale sarebbe in grado di modificarli o eliminarli prima.
Entra ID - Log Systems
- Diagnostic Settings: Un'impostazione diagnostica specifica un elenco di categorie di log della piattaforma e/o metriche che desideri raccogliere da una risorsa, e una o più destinazioni a cui desideri trasmetterle. Si applicheranno le normali spese per l'uso della destinazione. Scopri di più sulle diverse categorie di log e sui contenuti di quei log.
- Destinations:
- Analytics Workspace: Investigazione tramite Azure Log Analytics e creazione di avvisi.
- Storage account: Analisi statica e backup.
- Event hub: Trasmettere dati a sistemi esterni come SIEM di terze parti.
- Monitor partner solutions: Integrazioni speciali tra Azure Monitor e altre piattaforme di monitoraggio non Microsoft.
- Workbooks: I workbooks combinano testo, query di log, metriche e parametri in report interattivi ricchi.
- Usage & Insights: Utile per vedere le attività più comuni in Entra ID.
Azure Monitor
Queste sono le principali funzionalità di Azure Monitor:
- Activity Logs: I log di attività di Azure catturano eventi a livello di sottoscrizione e operazioni di gestione, fornendoti una panoramica delle modifiche e delle azioni intraprese sulle tue risorse.
- Activily logs non possono essere modificati o eliminati.
- Change Analysis: L'analisi delle modifiche rileva automaticamente e visualizza le modifiche di configurazione e stato delle tue risorse Azure per aiutarti a diagnosticare problemi e monitorare le modifiche nel tempo.
- Alerts: Gli avvisi di Azure Monitor sono notifiche automatiche attivate quando vengono soddisfatte determinate condizioni o soglie nel tuo ambiente Azure.
- Workbooks: I workbooks sono dashboard interattive e personalizzabili all'interno di Azure Monitor che ti consentono di combinare e visualizzare dati provenienti da varie fonti per un'analisi completa.
- Investigator: Investigator ti aiuta a esaminare i dati di log e gli avvisi per condurre un'analisi approfondita e identificare la causa degli incidenti.
- Insights: Gli insights forniscono analisi, metriche di prestazione e raccomandazioni azionabili (come quelle in Application Insights o VM Insights) per aiutarti a monitorare e ottimizzare la salute e l'efficienza delle tue applicazioni e infrastrutture.
Log Analytics Workspaces
I workspaces di Log Analytics sono repository centrali in Azure Monitor dove puoi raccogliere, analizzare e visualizzare dati di log e prestazioni dalle tue risorse Azure e dagli ambienti on-premises. Ecco i punti chiave:
- Centralized Data Storage: Servono come posizione centrale per memorizzare log diagnostici, metriche di prestazione e log personalizzati generati dalle tue applicazioni e servizi.
- Powerful Query Capabilities: Puoi eseguire query utilizzando il Kusto Query Language (KQL) per analizzare i dati, generare insights e risolvere problemi.
- Integration with Monitoring Tools: I workspaces di Log Analytics si integrano con vari servizi Azure (come Azure Monitor, Azure Sentinel e Application Insights) consentendoti di creare dashboard, impostare avvisi e ottenere una visione completa del tuo ambiente.
In sintesi, un workspace di Log Analytics è essenziale per il monitoraggio avanzato, la risoluzione dei problemi e l'analisi della sicurezza in Azure.
Puoi configurare una risorsa per inviare dati a un workspace di analisi dalle impostazioni diagnostiche della risorsa.
Enumeration
Entra ID
bash
# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'
# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'
# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’
# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'
Azure Monitor
bash
# Get last 10 activity logs
az monitor activity-log list --max-events 10
# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"
# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'
# List Log Analytic groups
az monitor log-analytics workspace list --output table
# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table
tip
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.