Az - Monitoring

Reading time: 6 minutes

Entra ID - Logs

Existem 3 tipos de logs disponíveis no Entra ID:

• Sign-in Logs: Os logs de sign-in documentam cada tentativa de autenticação, seja bem-sucedida ou falhada. Eles oferecem detalhes como endereços IP, localizações, informações do dispositivo e políticas de acesso condicional aplicadas, que são essenciais para monitorar a atividade do usuário e detectar comportamentos de login suspeitos ou potenciais ameaças à segurança.
• Audit Logs: Os logs de auditoria fornecem um registro de todas as alterações feitas dentro do seu ambiente Entra ID. Eles capturam atualizações de usuários, grupos, funções ou políticas, por exemplo. Esses logs são vitais para investigações de conformidade e segurança, pois permitem que você revise quem fez qual alteração e quando.
• Provisioning Logs: Os logs de provisionamento fornecem informações sobre usuários provisionados em seu tenant através de um serviço de terceiros (como diretórios locais ou aplicações SaaS). Esses logs ajudam você a entender como as informações de identidade são sincronizadas.

Entra ID - Log Systems

• Diagnostic Settings: Uma configuração de diagnóstico especifica uma lista de categorias de logs de plataforma e/ou métricas que você deseja coletar de um recurso, e um ou mais destinos para os quais você os transmitirá. Ocorrerão cobranças normais de uso para o destino. Saiba mais sobre as diferentes categorias de logs e o conteúdo desses logs.
• Destinations:
• Analytics Workspace: Investigação através do Azure Log Analytics e criação de alertas.
• Storage account: Análise estática e backup.
• Event hub: Transmitir dados para sistemas externos como SIEMs de terceiros.
• Monitor partner solutions: Integrações especiais entre o Azure Monitor e outras plataformas de monitoramento que não são da Microsoft.
• Workbooks: Workbooks combinam texto, consultas de log, métricas e parâmetros em relatórios interativos ricos.
• Usage & Insights: Útil para ver as atividades mais comuns no Entra ID.

Azure Monitor

Estas são as principais características do Azure Monitor:

• Activity Logs: Os logs de atividade do Azure capturam eventos e operações de gerenciamento em nível de assinatura, fornecendo uma visão geral das mudanças e ações realizadas em seus recursos.
• Activily logs não podem ser modificados ou excluídos.
• Change Analysis: A Análise de Mudanças detecta e visualiza automaticamente mudanças de configuração e estado em seus recursos do Azure para ajudar a diagnosticar problemas e rastrear modificações ao longo do tempo.
• Alerts: Alertas do Azure Monitor são notificações automatizadas acionadas quando condições ou limites especificados são atendidos em seu ambiente Azure.
• Workbooks: Workbooks são painéis interativos e personalizáveis dentro do Azure Monitor que permitem combinar e visualizar dados de várias fontes para uma análise abrangente.
• Investigator: O Investigator ajuda você a aprofundar-se nos dados de log e alertas para realizar análises profundas e identificar a causa de incidentes.
• Insights: Insights fornecem análises, métricas de desempenho e recomendações acionáveis (como aquelas no Application Insights ou VM Insights) para ajudar você a monitorar e otimizar a saúde e eficiência de suas aplicações e infraestrutura.

Log Analytics Workspaces

Os workspaces de Log Analytics são repositórios centrais no Azure Monitor onde você pode coletar, analisar e visualizar dados de log e desempenho de seus recursos do Azure e ambientes locais. Aqui estão os pontos principais:

• Centralized Data Storage: Eles servem como o local central para armazenar logs de diagnóstico, métricas de desempenho e logs personalizados gerados por suas aplicações e serviços.
• Powerful Query Capabilities: Você pode executar consultas usando a Kusto Query Language (KQL) para analisar os dados, gerar insights e solucionar problemas.
• Integration with Monitoring Tools: Os workspaces de Log Analytics se integram com vários serviços do Azure (como Azure Monitor, Azure Sentinel e Application Insights), permitindo que você crie painéis, configure alertas e obtenha uma visão abrangente do seu ambiente.

Em resumo, um workspace de Log Analytics é essencial para monitoramento avançado, solução de problemas e análise de segurança no Azure.

Você pode configurar um recurso para enviar dados para um workspace de análise a partir das configurações de diagnóstico do recurso.

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table