martes, 7 de julio de 2020

Despliegue de entornos de laboratorio Windows/ELK/Sysmon en Azure para testing y training con Adaz

Estimados amigos de Inseguros !!!

Me hace mucha ilusión el artículo de hoy porque es algo que he sufrido mucho y me ha servido bastante.

Cuando haces laboratorios, pruebas, ensayos, al final inviertes mucho tiempo en preparar el laboratorio. Este laboratorio no suele durar mucho, porque cuando empiezas a trabajarlo es casi imposible trackear los cambios y resultados que vas haciendo, y si haces algo defensivo no te va lo ofensivo, si implementas mejoras rompes cosas, al final es eso, un sitio para guarrear.

Hay varios proyectos muy conocidos basados en docker y despliegues en virtualbox o vmware, pero este que os presento tiene la peculiaridad de que funciona con Azure y funciona, es Adaz.


El sistema es muy sencillo, son un conjunto de configuraciones para setear en Azure un grupo de recursos destinado al Threat Hunting con un controlador de dominio y varios equipos clientes conectados con usuarios. A esto se le suma una máquina con una instalación de ELK funcional.

Aparte de las máquinas los windows vienen con las políticas de auditoría configuradas, sysmon y toda la conexión con ELK.

El despliegue es muy interesante para probar nuestras detecciones, si bien usamos Elast Alert. o cualquiera de las muchas detecciones que usamos. Podemos añadir una instancia manualmente Splunk o utilizar el formato Sigma... usar las detecciones de HELK en fín, el uso que le des ya es cosa tuya.


Podemos realizar algunos cambios en la nomenclatura del entorno, algo muy básico pero te ahorra luego tener que estar cambiando a tu gusto. La referencia es muy sencilla.


Si queremos cambiar otras configuraciones más orientadas a la plataforma, a lo que Terraform va a desplegar en nuestro Azure, como el grupo de recursos, redes y demás, podemos cambiarlo también

Una vez configuradas nuestras opciones podemos ejecutar el despliegue, realizando previamente un login con el Azure Cli para tener la validación pertinente.




Si todo ha ido bien, tenemos como resultado varios elementos.

En primer lugar, el front end kibana con todos los eventos generados.


Podemos hacer una sencilla prueba, por ejemplo, detectando Mimikatz, y vemos como se ha generado un evento, pero por la creación de un proceso con ese nombre. Esto quiere decir que no está muy bien configurado el sysmon con una regla que me detecte proceso padre accediendo a lsass.exe, pero bueno, como prueba de concepto me vale.


Un recursos muy interesante y como dice el autor, es compatible con las versiones de pruebas y estudiantes que ofrece Azure con un crédito limitado, ya que el consumo de estas máquinas no es elevado.

Seguiremos muy de cerca este proyecto porque la base es muy buena, y nos puede ahorrar mucho trabajo cada vez que queremos hacer una POC o una laboratorio. Si ya solo por el DC y los clientes ya nos ahorra un trabajo, si a esto le sumamos todo lo de ELK, bingo.

Como siempre, gracias por leerme :-)