Az - Monitoring

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Entra ID - Logovi

Postoje 3 tipa logova dostupna u Entra ID:

  • Sign-in Logs: Logovi prijava dokumentuju svaki pokušaj autentikacije, bilo uspešan ili neuspešan. Pružaju detalje kao što su IP adrese, lokacije, informacije o uređaju i primenjene conditional access politike, što je ključno za praćenje aktivnosti korisnika i otkrivanje sumnjivih pokušaja prijave ili potencijalnih bezbednosnih pretnji.
  • Audit Logs: Audit logovi beleže sve promene napravljene unutar vašeg Entra ID okruženja. Beleže ažuriranja korisnika, grupa, rola ili politika, na primer. Ovi logovi su vitalni za usklađenost i bezbednosne istrage, jer omogućavaju pregled ko je šta i kada menjao.
  • Provisioning Logs: Provisioning logovi daju informacije o korisnicima provision-ovanim u vašem tenant-u preko third-party servisa (kao što su on‑premises directories ili SaaS aplikacije). Ovi logovi pomažu da razumete kako se identity informacije sinhronizuju.

Warning

Imajte na umu da se ovi logovi čuvaju samo 7 dana u besplatnoj verziji, 30 dana u P1/P2 verziji i dodatnih 60 dana u security signals za risky signin activity. Međutim, čak ni global admin ne bi bio u mogućnosti da ih izmeni ili obriše ranije.

Entra ID - Log Systems

  • Diagnostic Settings: Diagnostic setting definiše listu kategorija platformskih logova i/ili metrika koje želite da prikupite sa resursa, i jednu ili više destinacija na koje ćete ih stream-ovati. Normalne naknade za korišćenje destination će biti primenjene. Saznajte više o različitim kategorijama logova i sadržaju tih logova.
  • Destinations:
  • Analytics Workspace: Istraga kroz Azure Log Analytics i kreiranje alerts.
  • Storage account: Statička analiza i backup.
  • Event hub: Streamovanje podataka ka eksternim sistemima kao što su third-party SIEMs.
  • Monitor partner solutions: Specijalne integracije između Azure Monitor i drugih non‑Microsoft monitoring platformi.
  • Workbooks: Workbooks kombinuju tekst, log queries, metrike i parametre u bogate interaktivne izveštaje.
  • Usage & Insights: Korisno za pregled najčešćih aktivnosti u Entra ID

Azure Monitor

Ovo su glavne funkcije Azure Monitor:

  • Activity Logs: Azure Activity Logs beleže događaje na nivou subscription-a i management operacije, dajući pregled promena i akcija preduzetih nad vašim resursima.
  • Activily logs ne mogu biti modifikovani ili obrisani.
  • Change Analysis: Change Analysis automatski detektuje i vizualizuje konfiguracione i state promene preko vaših Azure resursa kako bi pomogao u dijagnostikovanju problema i praćenju izmena kroz vreme.
  • Alerts: Alerts iz Azure Monitor su automatizovane notifikacije koje se okidaju kada su određeni uslovi ili pragovi ispunjeni u vašem Azure okruženju.
  • Workbooks: Workbooks su interaktivni, prilagodljivi dashboard-i unutar Azure Monitor koji vam omogućavaju da kombinujete i vizualizujete podatke iz različitih izvora za sveobuhvatnu analizu.
  • Investigator: Investigator pomaže da dublje zaronite u log podatke i alerts kako biste sproveli detaljnu analizu i identifikovali uzrok incidenata.
  • Insights: Insights pružaju analitiku, performansne metrike i akcione preporuke (poput onih u Application Insights ili VM Insights) kako bi vam pomogli da pratite i optimizujete zdravlje i efikasnost vaših aplikacija i infrastrukture.

Log Analytics Workspaces

Log Analytics workspaces su centralni repozitorijumi u Azure Monitor-u gde možete da prikupljate, analizirate i vizualizujete log i performansne podatke sa vaših Azure resursa i on‑premises okruženja. Evo ključnih tačaka:

  • Centralizovano skladištenje podataka: Služe kao centralno mesto za čuvanje diagnostic logova, performansnih metrika i custom logova koje generišu vaše aplikacije i servisi.
  • Moćne mogućnosti upita: Možete pokretati upite koristeći Kusto Query Language (KQL) za analizu podataka, generisanje uvida i rešavanje problema.
  • Integracija sa alatima za monitoring: Log Analytics workspaces se integrišu sa raznim Azure servisima (kao što su Azure Monitor, Azure Sentinel i Application Insights) omogućavajući kreiranje dashboard-a, podešavanje alerts i sticanje sveobuhvatnog pogleda na okruženje.

Ukratko, Log Analytics workspace je neophodan za napredno praćenje, rešavanje problema i bezbednosnu analizu u Azure.

Možete konfigurirati resurs da šalje podatke u analytics workspace iz diagnostic settings resursa.

Graph vs ARM logging visibility (useful for OPSEC/hunting)

  • Microsoft Graph Activity Logs nisu enabled po default-u. Omogućite i eksportujte ih (Event Hubs/Log Analytics/SIEM) da biste videli Graph read pozive. Alati poput AzureHound izvršavaju preflight GET prema /v1.0/organization koji će se pojaviti ovde; default UA opažen: azurehound/v2.x.x.
  • Entra ID non-interactive sign-in logs beleže identity platform autentikaciju (login.microsoftonline.) koju koriste skripte/alati.
  • ARM control‑plane read/list (HTTP GET) operacije generalno se ne upisuju u Activity Logs. Vidljivost read operacija dolazi iz resource Diagnostic Settings za data‑plane endpoint-e samo (npr. *.blob.core.windows.net, *.vault.azure.net) i ne dolazi iz ARM control‑plane poziva prema management.azure..
  • Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview) može izložiti Graph pozive i token identifikatore ali može izostaviti UserAgent i ima ograničen default retention.

Kada hunt-ujete za AzureHound, korrelirajte Entra sign‑in logove sa Graph Activity Logs na session ID, IP, user/object ID-jeve i tražite izlive Graph zahteva plus ARM management pozive koji nemaju pokrivenost u Activity Log‑ovima.

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

Reference

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks