Az - Monitoring

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Entra ID - Logi

Istnieją 3 typy logów dostępnych w Entra ID:

  • Sign-in Logs: Logi logowań dokumentują każdą próbę uwierzytelnienia, zarówno udaną, jak i nieudaną. Zawierają szczegóły takie jak adresy IP, lokalizacje, informacje o urządzeniu oraz zastosowane polityki conditional access, które są niezbędne do monitorowania aktywności użytkowników i wykrywania podejrzanych prób logowania lub potencjalnych zagrożeń bezpieczeństwa.
  • Audit Logs: Logi audytu dostarczają zapis wszystkich zmian dokonanych w środowisku Entra ID. Rejestrują aktualizacje użytkowników, grup, ról czy polityk, na przykład. Te logi są kluczowe dla zgodności i dochodzeń bezpieczeństwa, ponieważ pozwalają przeglądać, kto dokonał jakiej zmiany i kiedy.
  • Provisioning Logs: Logi provisioningu dostarczają informacji o użytkownikach provisionowanych w tenant przez usługi zewnętrzne (takie jak katalogi on‑premises lub aplikacje SaaS). Te logi pomagają zrozumieć, jak informacje tożsamości są synchronizowane.

Warning

Zauważ, że te logi są przechowywane przez 7 dni w wersji darmowej, 30 dni w wersji P1/P2 oraz dodatkowe 60 dni w security signals dla ryzykownych prób logowania. Jednak nawet globalny administrator nie miałby możliwości zmodyfikować ani usunąć ich wcześniej.

Entra ID - Systemy logowania

  • Diagnostic Settings: Ustawienie diagnostyczne określa listę kategorii platformowych logów i/lub metryk, które chcesz zbierać z zasobu, oraz jedno lub więcej miejsc docelowych, do których będziesz je przesyłać. Standardowe opłaty za użycie docelowego miejsca będą naliczane. Dowiedz się więcej o różnych kategoriach logów i zawartości tych logów.
  • Destinations:
  • Analytics Workspace: Analiza przez Azure Log Analytics i tworzenie alertów.
  • Storage account: Statyczna analiza i backup.
  • Event hub: Strumieniowanie danych do systemów zewnętrznych, takich jak systemy SIEM firm trzecich.
  • Monitor partner solutions: Specjalne integracje między Azure Monitor a innymi platformami monitorującymi (nie-Microsoft).
  • Workbooks: Workbooks łączą tekst, zapytania logów, metryki i parametry w bogate, interaktywne raporty.
  • Usage & Insights: Przydatne do zobaczenia najczęstszych aktywności w Entra ID

Azure Monitor

Oto główne funkcje Azure Monitor:

  • Activity Logs: Azure Activity Logs rejestrują zdarzenia na poziomie subskrypcji i operacje zarządzania, dając przegląd zmian i działań wykonywanych na zasobach.
  • Activity logs nie mogą być modyfikowane ani usuwane.
  • Change Analysis: Change Analysis automatycznie wykrywa i wizualizuje zmiany konfiguracji i stanu w zasobach Azure, co pomaga diagnozować problemy i śledzić modyfikacje w czasie.
  • Alerts: Alerty z Azure Monitor są automatycznymi powiadomieniami wyzwalanymi, gdy określone warunki lub progi zostaną spełnione w środowisku Azure.
  • Workbooks: Workbooks to interaktywne, konfigurowalne pulpity w Azure Monitor, które pozwalają łączyć i wizualizować dane z różnych źródeł w celu kompleksowej analizy.
  • Investigator: Investigator pomaga zagłębić się w dane logów i alerty, aby przeprowadzić dogłębną analizę i zidentyfikować przyczynę incydentów.
  • Insights: Insights dostarczają analityki, metryk wydajności i praktycznych rekomendacji (tak jak w Application Insights czy VM Insights), aby pomóc monitorować i optymalizować zdrowie oraz efektywność aplikacji i infrastruktury.

Log Analytics Workspaces

Log Analytics workspaces są centralnymi repozytoriami w Azure Monitor, gdzie możesz zbierać, analizować i wizualizować dane logów i wydajności z zasobów Azure i środowisk on‑premises. Oto kluczowe punkty:

  • Centralized Data Storage: Służą jako centralne miejsce do przechowywania logów diagnostycznych, metryk wydajności oraz logów niestandardowych generowanych przez aplikacje i usługi.
  • Powerful Query Capabilities: Możesz uruchamiać zapytania używając Kusto Query Language (KQL) do analizy danych, generowania wniosków i rozwiązywania problemów.
  • Integration with Monitoring Tools: Log Analytics workspaces integrują się z różnymi usługami Azure (takimi jak Azure Monitor, Azure Sentinel i Application Insights), pozwalając tworzyć dashboardy, konfigurować alerty i uzyskać kompleksowy widok środowiska.

Podsumowując, Log Analytics workspace jest niezbędny do zaawansowanego monitoringu, rozwiązywania problemów i analizy bezpieczeństwa w Azure.

Możesz skonfigurować zasób tak, aby wysyłał dane do analytics workspace z diagnostic settings zasobu.

Graph vs ARM widoczność logowania (przydatne dla OPSEC/hunting)

  • Microsoft Graph Activity Logs nie są włączone domyślnie. Włącz i eksportuj je (Event Hubs/Log Analytics/SIEM), aby zobaczyć wywołania Graph read. Narzędzia takie jak AzureHound wykonują preflight GET na /v1.0/organization, które pojawi się tutaj; domyślny UA obserwowany: azurehound/v2.x.x.
  • Entra ID non-interactive sign-in logs rejestrują platformę uwierzytelniania tożsamości (login.microsoftonline.) używaną przez skrypty/narzędzia.
  • Operacje odczytu/listowania ARM control‑plane (HTTP GET) generalnie nie są zapisywane w Activity Logs. Widoczność operacji odczytu pochodzi z Diagnostic Settings zasobów dla punktów końcowych data‑plane tylko (np. *.blob.core.windows.net, *.vault.azure.net) i nie z wywołań ARM control‑plane do management.azure..
  • Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview) może ujawniać wywołania Graph i identyfikatory tokenów, ale może pomijać UserAgent i ma ograniczony domyślny okres retencji.

Podczas polowania na AzureHound skoreluj Entra sign‑in logs z Graph Activity Logs po session ID, IP, user/object IDs i szukaj nagłych skoków żądań Graph wraz z wywołaniami ARM management, które nie mają pokrycia w Activity Log.

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

Źródła

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks