Az - Monitoring

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Entra ID - Logs

Entra ID’de 3 tür log bulunur:

  • Sign-in Logs: Sign-in log’ları her kimlik doğrulama denemesini (başarılı veya başarısız) kaydeder. IP adresleri, konumlar, cihaz bilgileri ve uygulanan conditional access politikaları gibi bilgiler sunar; bu veriler kullanıcı etkinliğini izlemede ve şüpheli oturum açma davranışlarını veya potansiyel güvenlik tehditlerini tespit etmede kritiktir.
  • Audit Logs: Audit log’ları Entra ID ortamınızda yapılan tüm değişikliklerin kaydını tutar. Örneğin kullanıcı, grup, rol veya politika güncellemelerini yakalar. Bu log’lar uyumluluk ve güvenlik soruşturmaları için hayati önem taşır; kim hangi değişikliği ne zaman yaptığını gözden geçirmenizi sağlar.
  • Provisioning Logs: Provisioning log’ları tenant’ınıza üçüncü taraf bir servis (ör. on-premises dizinler veya SaaS uygulamaları) üzerinden sağlanan kullanıcılar hakkında bilgi verir. Bu log’lar kimlik bilgileri senkronizasyonunun nasıl gerçekleştiğini anlamanıza yardımcı olur.

Warning

Bu log’ların ücretsiz sürümde yalnızca 7 gün, P1/P2 sürümünde 30 gün ve riskli signin etkinliği için security signals’da ek 60 gün saklandığını unutmayın. Ancak, global admin bile bu log’ları daha erken değiştiremez veya silemez.

Entra ID - Log Systems

  • Diagnostic Settings: Bir diagnostic setting, bir kaynaktan toplamak istediğiniz platform log kategorileri ve/veya metriklerin listesini ve bunları akıtacağınız bir veya daha fazla hedefi belirtir. Hedef için normal kullanım ücretleri uygulanır. Bu log kategorilerinin farklılıkları ve içerikleri hakkında daha fazla bilgi edinin.
  • Destinations:
  • Analytics Workspace: Azure Log Analytics üzerinden inceleme yapma ve uyarılar oluşturma.
  • Storage account: Statik analiz ve yedekleme.
  • Event hub: Veriyi üçüncü taraf SIEM gibi dış sistemlere akıtma.
  • Monitor partner solutions: Azure Monitor ile Microsoft dışı diğer monitoring platformları arasında özel entegrasyonlar.
  • Workbooks: Workbooks, metin, log sorguları, metrikler ve parametreleri zengin interaktif raporlarda birleştirir.
  • Usage & Insights: Entra ID’deki en yaygın aktiviteleri görmek için faydalıdır.

Azure Monitor

Azure Monitor’un ana özellikleri şunlardır:

  • Activity Logs: Azure Activity Logs, abonelik düzeyindeki olayları ve yönetim işlemlerini yakalar; kaynaklarınızdaki değişikliklere ve alınan eylemlere genel bir bakış sağlar.
  • Activity logs değiştirilemez veya silinemez.
  • Change Analysis: Change Analysis, Azure kaynaklarınız genelinde yapılandırma ve durum değişikliklerini otomatik olarak algılar ve görselleştirir; bu sayede sorunları teşhis etmek ve zaman içinde yapılan değişiklikleri takip etmek kolaylaşır.
  • Alerts: Azure Monitor’den gelen alerts, belirtilen koşullar veya eşikler sağlandığında tetiklenen otomatik bildirimlerdir.
  • Workbooks: Workbooks, Azure Monitor içinde veri kaynaklarını birleştirip görselleştirmenizi sağlayan interaktif, özelleştirilebilir panolardır.
  • Investigator: Investigator, log verilerine ve uyarılara daha derinlemesine bakmanıza yardımcı olur; olayların nedenini belirlemede detaylı analiz sağlar.
  • Insights: Insights, uygulamalarınızın ve altyapınızın sağlığını ve verimliliğini izlemenize ve optimize etmenize yardımcı olacak analizler, performans metrikleri ve uygulanabilir öneriler sunar (Application Insights veya VM Insights gibi).

Log Analytics Workspaces

Log Analytics workspaces, Azure Monitor içinde Azure kaynaklarınızdan ve on-premises ortamlarınızdan gelen log ve performans verilerini toplamak, analiz etmek ve görselleştirmek için merkezi depolama alanlarıdır. Öne çıkan noktalar:

  • Centralized Data Storage: Diagnostic log’ları, performans metriklerini ve uygulama/servislerinizin oluşturduğu custom log’ları saklamak için merkezi konum sağlarlar.
  • Powerful Query Capabilities: Veriyi analiz etmek, içgörüler üretmek ve sorunları gidermek için Kusto Query Language (KQL) kullanarak sorgular çalıştırabilirsiniz.
  • Integration with Monitoring Tools: Log Analytics workspaces, Azure Monitor, Azure Sentinel ve Application Insights gibi çeşitli Azure servisleriyle entegre olur; panolar oluşturmanıza, uyarılar kurmanıza ve ortamınızın kapsamlı bir görünümünü elde etmenize imkan tanır.

Özetle, bir Log Analytics workspace, Azure’da gelişmiş monitoring, troubleshooting ve güvenlik analizi için elzemdir.

Bir kaynağı veri gönderecek şekilde yapılandırmak için kaynağın diagnostic settings kısmından Analytics Workspace’e gönderim ayarlayabilirsiniz.

Graph vs ARM logging visibility (useful for OPSEC/hunting)

  • Microsoft Graph Activity Logs varsayılan olarak etkin değildir. Graph read çağrılarını görmek için bunları etkinleştirin ve (Event Hubs/Log Analytics/SIEM) dışa aktarın. AzureHound gibi araçlar /v1.0/organization için bir preflight GET yapar; burada görünecektir; gözlemlenen varsayılan UA: azurehound/v2.x.x.
  • Entra ID non-interactive sign-in log’ları, scriptler/araçlar tarafından kullanılan kimlik platformu doğrulamasını (login.microsoftonline.) kaydeder.
  • ARM control-plane read/list (HTTP GET) operasyonları genellikle Activity Logs’a yazılmaz. Read operasyonlarının görünürlüğü yalnızca resource Diagnostic Settings aracılığıyla data-plane uç noktaları için gelir (örn. *.blob.core.windows.net, *.vault.azure.net) ve management.azure. üzerinden yapılan ARM control-plane çağrılarından gelmez.
  • Microsoft Defender XDR Advanced Hunting GraphApiAuditEvents (preview), Graph çağrılarını ve token tanımlayıcılarını ortaya çıkarabilir ancak UserAgent’ı atlayabilir ve varsayılan saklama süresi sınırlıdır.

AzureHound avlarken, Entra sign-in log’larını Graph Activity Logs ile session ID, IP, kullanıcı/nesne ID’leri bazında korele edin ve Activity Log kapsamı olmayan ARM yönetim çağrıları ile birlikte Graph isteklerinin ani artışlarına bakın.

Enumeration

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table

Kaynaklar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin