Az - Моніторинг

Reading time: 6 minutes

Entra ID - Журнали

В Entra ID доступні 3 типи журналів:

• Журнали входу: Журнали входу документують кожну спробу аутентифікації, незалежно від того, чи була вона успішною, чи ні. Вони надають деталі, такі як IP-адреси, місця розташування, інформація про пристрої та застосовані політики умовного доступу, що є важливими для моніторингу активності користувачів та виявлення підозрілої поведінки при вході або потенційних загроз безпеці.
• Аудиторські журнали: Аудиторські журнали надають запис усіх змін, внесених у ваше середовище Entra ID. Вони фіксують оновлення користувачів, груп, ролей або політик, наприклад. Ці журнали є життєво важливими для дотримання вимог та розслідувань безпеки, оскільки дозволяють вам переглядати, хто вніс яку зміну і коли.
• Журнали постачання: Журнали постачання надають інформацію про користувачів, які були надані у вашому орендарі через сторонній сервіс (такий як локальні каталоги або SaaS-додатки). Ці журнали допомагають вам зрозуміти, як синхронізується інформація про особу.

Entra ID - Системи журналів

• Налаштування діагностики: Налаштування діагностики визначає список категорій платформних журналів та/або метрик, які ви хочете збирати з ресурсу, та одне або кілька місць призначення, куди ви будете їх транслювати. Нормальні витрати на використання для місця призначення будуть застосовуватися. Дізнайтеся більше про різні категорії журналів та вміст цих журналів.
• Місця призначення:
• Аналітичне середовище: Розслідування через Azure Log Analytics та створення сповіщень.
• Обліковий запис зберігання: Статичний аналіз та резервне копіювання.
• Хаб подій: Транслюйте дані до зовнішніх систем, таких як сторонні SIEM.
• Рішення партнерів з моніторингу: Спеціальні інтеграції між Azure Monitor та іншими платформами моніторингу, що не є Microsoft.
• Робочі зошити: Робочі зошити поєднують текст, запити журналів, метрики та параметри в багатих інтерактивних звітах.
• Використання та аналітика: Корисно для перегляду найпоширеніших дій в Entra ID

Azure Monitor

Це основні функції Azure Monitor:

• Журнали активності: Журнали активності Azure фіксують події на рівні підписки та операції управління, надаючи вам огляд змін та дій, вжитих щодо ваших ресурсів.
• Журнали активності не можуть бути змінені або видалені.
• Аналіз змін: Аналіз змін автоматично виявляє та візуалізує зміни конфігурації та стану ваших ресурсів Azure, щоб допомогти діагностувати проблеми та відстежувати модифікації з часом.
• Сповіщення: Сповіщення з Azure Monitor - це автоматизовані повідомлення, які спрацьовують, коли виконуються певні умови або пороги у вашому середовищі Azure.
• Робочі зошити: Робочі зошити - це інтерактивні, налаштовувані інформаційні панелі в Azure Monitor, які дозволяють вам поєднувати та візуалізувати дані з різних джерел для всебічного аналізу.
• Дослідник: Дослідник допомагає вам заглибитися в дані журналів та сповіщення, щоб провести глибокий аналіз та виявити причину інцидентів.
• Аналітика: Аналітика надає аналітичні дані, метрики продуктивності та практичні рекомендації (як у Application Insights або VM Insights), щоб допомогти вам моніторити та оптимізувати здоров'я та ефективність ваших додатків та інфраструктури.

Робочі простори Log Analytics

Робочі простори Log Analytics - це центральні репозиторії в Azure Monitor, де ви можете збирати, аналізувати та візуалізувати дані журналів та продуктивності з ваших ресурсів Azure та локальних середовищ. Ось ключові моменти:

• Централізоване зберігання даних: Вони слугують центральним місцем для зберігання діагностичних журналів, метрик продуктивності та користувацьких журналів, створених вашими додатками та сервісами.
• Потужні можливості запитів: Ви можете виконувати запити, використовуючи Kusto Query Language (KQL), щоб аналізувати дані, генерувати аналітику та усувати проблеми.
• Інтеграція з інструментами моніторингу: Робочі простори Log Analytics інтегруються з різними службами Azure (такими як Azure Monitor, Azure Sentinel та Application Insights), що дозволяє вам створювати інформаційні панелі, налаштовувати сповіщення та отримувати всебічний огляд вашого середовища.

Підсумовуючи, робочий простір Log Analytics є важливим для розширеного моніторингу, усунення неполадок та аналізу безпеки в Azure.

Ви можете налаштувати ресурс для надсилання даних до аналітичного робочого простору з налаштувань діагностики ресурсу.

Перерахування

Entra ID

# Get last 10 sign-ins
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/signIns?$top=10'

# Get last 10 audit logs
az rest --method get --uri 'https://graph.microsoft.com/v1.0/auditLogs/directoryAudits?$top=10'

# Get last 10 provisioning logs
az rest --method get --uri ‘https://graph.microsoft.com/v1.0/auditLogs/provisioning?$top=10’

# Get EntraID Diagnostic Settings
az rest --method get --uri "https://management.azure.com/providers/microsoft.aadiam/diagnosticSettings?api-version=2017-04-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"subscriptions": ["9291ff6e-6afb-430e-82a4-6f04b2d05c7f"],
"query": "where type =~ \"microsoft.insights/workbooks\" \n| extend sourceId = tostring(properties.sourceId) \n| where sourceId =~ \"Azure Active Directory\" \n| extend DisplayName = tostring(properties.displayName) \n| extend WorkbookType = tostring(properties.category), LastUpdate = todatetime(properties.timeModified) \n| where WorkbookType == \"workbook\"\n| project DisplayName, name, resourceGroup, kind, location, id, type, subscriptionId, tags, WorkbookType, LastUpdate, identity, properties",
"options": {"resultFormat": "table"},
"name": "e4774363-5160-4c09-9d71-2da6c8e3b00a"
}' | jq '.data.rows'

Azure Monitor

# Get last 10 activity logs
az monitor activity-log list --max-events 10

# Get Resource Diagnostic Settings
az rest --url "https://management.azure.com/subscriptions/<subscription-id>/resourceGroups/<res-group>/providers/Microsoft.DocumentDb/databaseAccounts/<db-name>/providers/microsoft.insights/diagnosticSettings?api-version=2021-05-01-preview"

# Get Entra ID Workbooks
az rest \
--method POST \
--url "https://management.azure.com/providers/microsoft.resourcegraph/resources?api-version=2021-03-01" \
--headers '{"commandName": "AppInsightsExtension.GetWorkbooksListArg"}' \
--body '{
"content": {},
"commandName": "AppInsightsExtension.GetWorkbooksListArg"
}'

# List Log Analytic groups
az monitor log-analytics workspace list --output table

# List alerts
az monitor metrics alert list --output table
az monitor activity-log alert list --output table