Azure Sentinel: De 0 a 100. Episodio 2

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-de-0-a-100-episodio-2/

El laboratorio de: kino

 Estimados amigos de Inseguros !!!

Voy a empezar una mini serie de artículos relacionados con los laboratorios que tenemos en nuestro entorno.

El tener una buen despliegue de los recursos que necesitas es fundamental para estudiar y hacer prácticas.

En mi caso os voy a contar el setting que tengo ahora mismo, pero suele cambiar según voy petando cosas :-)

Espero que se animen los coleguis. y mostraros más laboratorios. Empiezo yo...

Mi equipo de trabajo es un MacBookPro con 16gb de ram con el sistema operativo nativo y una máquina virtual Kali linux con 8gb Ram. Con estas dos máquinas me garantizo poder operar en mis desplazamientos si surgen en algún cliente, charla, reunión, etc.

Aparte de esto tengo dos equipos clónicos, un i3/32 GB RAM/1tb SSD/1tb HD con un windows 10. Sobre el Windows 10 monto Hyper-v y ahí tengo unas cuantas máquinas. Esa máquina 10 la suelo configurar con Commando, ya sabes, la configuración de FireEye con herramientas de hacking.

El otro clónico lo tengo poco tiempo, es un i7/64/1tb ssd/ 1tb hd con un vmware esxi y otro puñadito de máquinas. 

Cuando necesito otro tipo de casuísticas, por ejemplo laboratorios que voy a usar fuera de casa, para exponer a internet, suelo usar Azure. Para desplegar máquinas en Azure suelo usar algunos scripts que me automatizan el setting, por ejemplo, aquí hablamos de como montar un entorno Active Directory con Sysmon y ELK

Con más de 100 gb de ram a mi disposición, más Azure más cositas en la empresa, tengo suficiente para virtualizar mis máquinas y películas.

Espero que te guste, si tienes dudas de mi laboratorio no dudes en preguntar !!!

Gracias por leerme !!!

Azure Sentinel De cero a cien: Episodio 1

https://blogvisionarios.com/e-learning/articulos-ciberseguridad/azure-sentinel-de-cero-a-cien-episodio-1/

Tips And Tricks: Limitar las búsquedas de objetos en Active Directory

 Estimados amigos de Inseguros !!!

Hoy vamos a ver un pequeño truco que os puede aportar valor tanto si sois del Red Team y queréis "romper" como si luchas contra esto en el Blue Team. 

En un proceso de hacking en sistemas Microsoft el principal elemento a tener en cuenta es la enumeración. No se si el más importante o no, pero al menos es el movimiento inicial una vez te "sientas" en la organización.

Hay mil maneras de enumerar activos en AD, pero el más sencillo es usar el entorno gráfico, el botoncito, y buscar por ahí...

Como se puede comprobar, podemos buscar usuarios, equipos, etc.

Hay varias configuraciones de seguridad para impedir la enumeración de activos, una de ellas es quitar la rama de Mi red de los acceso directos y así no tener la posibilidad de que aparezca el botón...

Pero los chicos malos saben que haciendo   cmd.exe /c rundll32 dsquery,OpenQueryWindow tenemos acceso a esa interface.

La mejor manera de impedir el uso de esta funcionalidad es limitar el tamaño de respuestas que podemos dar al usuario. Podemos definir un valor de 0, y de esta manera podemos evitar que un usuario "curioso" pueda estar cotilleando nuestro AD. El setting es una GPO tan sencilla como esta:

Recuerda activarlo solo para los usuarios que debas, porque por ejemplo, cuando estás haciendo permisos NTFS en un directorio... y quieres aplicarlos a un usuario o grupo... y le das a buscar... ahí también sufres la restricción, no es solo desde ese botón que comento, es sobre todas las búsquedas.

Espero que te sirva de ayuda el levantar el GUI con el comando en alguna auditoría, o si estás en la trinchera sepas un poco más de esta GPO.

Gracias por leerme.