Az - Monitoramento

Reading time: 7 minutes

Entra ID - Registros

Existem 3 tipos de logs disponíveis no Entra ID:

• Sign-in Logs: Os sign-in logs documentam toda tentativa de autenticação, bem-sucedida ou falha. Eles oferecem detalhes como endereços IP, localizações, informações do dispositivo e políticas de acesso condicional aplicadas, que são essenciais para monitorar a atividade do usuário e detectar comportamentos de login suspeitos ou potenciais ameaças à segurança.
• Audit Logs: Os audit logs fornecem um registro de todas as alterações feitas no seu ambiente Entra ID. Capturam atualizações em usuários, grupos, roles ou políticas, por exemplo. Esses logs são vitais para conformidade e investigações de segurança, pois permitem revisar quem fez qual alteração e quando.
• Provisioning Logs: Os provisioning logs fornecem informações sobre usuários provisionados no seu tenant através de um serviço de terceiros (como diretórios on‑premises ou aplicações SaaS). Esses logs ajudam a entender como a informação de identidade é sincronizada.

Entra ID - Sistemas de Log

• Diagnostic Settings: Um diagnostic setting especifica uma lista de categorias de platform logs e/ou métricas que você deseja coletar de um recurso, e um ou mais destinos para os quais você irá enviá‑los. Tarifas normais de uso para o destino ocorrerão. Saiba mais sobre as diferentes categorias de log e o conteúdo desses logs.
• Destinations:
• Analytics Workspace: Investigation through Azure Log Analytics and create alerts.
• Storage account: Static análysis e backup.
• Event hub: Stream data to external systems like third-party SIEMs.
• Monitor partner solutions: Integrações especiais entre Azure Monitor e outras plataformas de monitoramento não‑Microsoft.
• Workbooks: Workbooks combinam texto, log queries, métricas e parâmetros em relatórios interativos e ricos.
• Usage & Insights: Útil para ver as atividades mais comuns no Entra ID

Azure Monitor

Estas são as principais funcionalidades do Azure Monitor:

• Activity Logs: Os Azure Activity Logs capturam eventos a nível de subscription e operações de management, proporcionando uma visão geral das alterações e ações realizadas nos seus recursos.
• Activity logs não podem ser modificados ou deletados.
• Change Analysis: Change Analysis detecta e visualiza automaticamente alterações de configuração e estado através dos seus recursos Azure para ajudar a diagnosticar problemas e rastrear modificações ao longo do tempo.
• Alerts: Alerts do Azure Monitor são notificações automatizadas acionadas quando condições ou thresholds especificados são atingidos no seu ambiente Azure.
• Workbooks: Workbooks são dashboards interativos e customizáveis dentro do Azure Monitor que permitem combinar e visualizar dados de várias fontes para uma análise abrangente.
• Investigator: Investigator ajuda a aprofundar dados de logs e alerts para conduzir análises detalhadas e identificar a causa de incidentes.
• Insights: Insights fornecem analytics, métricas de performance e recomendações acionáveis (como as do Application Insights ou VM Insights) para ajudar a monitorar e otimizar a saúde e eficiência das suas aplicações e infraestrutura.

Log Analytics Workspaces

Log Analytics workspaces são repositórios centrais no Azure Monitor onde você pode coletar, analisar e visualizar dados de logs e performance dos seus recursos Azure e ambientes on‑premises. Aqui estão os pontos principais:

• Centralized Data Storage: Servem como o local central para armazenar diagnostic logs, métricas de performance e custom logs gerados pelas suas aplicações e serviços.
• Powerful Query Capabilities: Você pode executar queries usando Kusto Query Language (KQL) para analisar os dados, gerar insights e solucionar problemas.
• Integration with Monitoring Tools: Log Analytics workspaces se integram com vários serviços Azure (como Azure Monitor, Azure Sentinel, e Application Insights) permitindo criar dashboards, configurar alerts e obter uma visão abrangente do seu ambiente.

Em resumo, um Log Analytics workspace é essencial para monitoramento avançado, troubleshooting e análise de segurança no Azure.

Você pode configurar um recurso para enviar dados para um analytics workspace a partir das diagnostic settings do recurso.

Graph vs ARM logging visibility (útil para OPSEC/hunting)

• Microsoft Graph Activity Logs não estão habilitados por padrão. Habilite e exporte-os (Event Hubs/Log Analytics/SIEM) para ver chamadas de leitura do Graph. Ferramentas como AzureHound realizam um preflight GET para /v1.0/organization que aparecerá aqui; UA padrão observado: azurehound/v2.x.x.
• Entra ID non-interactive sign-in logs registram a plataforma de identidade de autenticação (login.microsoftonline.) usada por scripts/ferramentas.
• ARM control-plane read/list (HTTP GET) operations geralmente não são escritas nos Activity Logs. A visibilidade de operações de leitura vem dos Diagnostic Settings de recurso para endpoints data‑plane apenas (por exemplo, *.blob.core.windows.net, *.vault.azure.net) e não das chamadas ARM control‑plane para management.azure..
• Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview) pode expor chamadas Graph e identificadores de token, mas pode omitir UserAgent e tem retenção padrão limitada.

Ao caçar por AzureHound, correlacione os sign‑in logs do Entra com os Graph Activity Logs pelo session ID, IP, user/object IDs, e procure por rajadas de requisições Graph além de chamadas de management ARM que não tenham cobertura no Activity Log.

Enumeração

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

Referências

• Descoberta na Nuvem com AzureHound (Unit 42)