martes, 7 de julio de 2020

Despliegue de entornos de laboratorio Windows/ELK/Sysmon en Azure para testing y training con Adaz

Estimados amigos de Inseguros !!!

Me hace mucha ilusión el artículo de hoy porque es algo que he sufrido mucho y me ha servido bastante.

Cuando haces laboratorios, pruebas, ensayos, al final inviertes mucho tiempo en preparar el laboratorio. Este laboratorio no suele durar mucho, porque cuando empiezas a trabajarlo es casi imposible trackear los cambios y resultados que vas haciendo, y si haces algo defensivo no te va lo ofensivo, si implementas mejoras rompes cosas, al final es eso, un sitio para guarrear.

Hay varios proyectos muy conocidos basados en docker y despliegues en virtualbox o vmware, pero este que os presento tiene la peculiaridad de que funciona con Azure y funciona, es Adaz.


El sistema es muy sencillo, son un conjunto de configuraciones para setear en Azure un grupo de recursos destinado al Threat Hunting con un controlador de dominio y varios equipos clientes conectados con usuarios. A esto se le suma una máquina con una instalación de ELK funcional.

Aparte de las máquinas los windows vienen con las políticas de auditoría configuradas, sysmon y toda la conexión con ELK.

El despliegue es muy interesante para probar nuestras detecciones, si bien usamos Elast Alert. o cualquiera de las muchas detecciones que usamos. Podemos añadir una instancia manualmente Splunk o utilizar el formato Sigma... usar las detecciones de HELK en fín, el uso que le des ya es cosa tuya.


Podemos realizar algunos cambios en la nomenclatura del entorno, algo muy básico pero te ahorra luego tener que estar cambiando a tu gusto. La referencia es muy sencilla.


Si queremos cambiar otras configuraciones más orientadas a la plataforma, a lo que Terraform va a desplegar en nuestro Azure, como el grupo de recursos, redes y demás, podemos cambiarlo también

Una vez configuradas nuestras opciones podemos ejecutar el despliegue, realizando previamente un login con el Azure Cli para tener la validación pertinente.




Si todo ha ido bien, tenemos como resultado varios elementos.

En primer lugar, el front end kibana con todos los eventos generados.


Podemos hacer una sencilla prueba, por ejemplo, detectando Mimikatz, y vemos como se ha generado un evento, pero por la creación de un proceso con ese nombre. Esto quiere decir que no está muy bien configurado el sysmon con una regla que me detecte proceso padre accediendo a lsass.exe, pero bueno, como prueba de concepto me vale.


Un recursos muy interesante y como dice el autor, es compatible con las versiones de pruebas y estudiantes que ofrece Azure con un crédito limitado, ya que el consumo de estas máquinas no es elevado.

Seguiremos muy de cerca este proyecto porque la base es muy buena, y nos puede ahorrar mucho trabajo cada vez que queremos hacer una POC o una laboratorio. Si ya solo por el DC y los clientes ya nos ahorra un trabajo, si a esto le sumamos todo lo de ELK, bingo.

Como siempre, gracias por leerme :-)





viernes, 3 de julio de 2020

Reflexiones sobre el MVP

Estimados amigos de Inseguros !!!

Como lleva siendo habitual estos últimos 5 años, y no normal, porque para mi sigue siendo brutal la ilusión, me han concedido el honor de ser Microsoft MVP.

Cada vez que recibo el correo se me saltan las lágrimas. Al final es recibir un "bien hecho" de alguien que valoras mucho, como es para mi la comunidad entorno a Microsoft y sobre todo su labor. No hablo de vender productos o servicios, hablo de AYUDAR en hacer el mundo más seguro, contando lo poco que sé a los demás.



Muchos me preguntan todos los años sobre el premio, por eso me animo a contar estas cosas en público.

El premio Microsoft MVP no es un premio técnico por ser el number one, es un premio por contribuir de manera desinteresada al fomento de la tecnología que cada uno maneja.

Hay MVP con más conocimiento que otros, y bajo los ojos de la gente, hay gente que debería ser MVP y lo es, otros que no lo son, y otros muchos que no deberían serlo, pero siempre bajo el criterio "técnico" del conocimiento, pero insisto en que el premio no es al conocimiento, sino a la difusión del mismo.

Me gusta poner el ejemplo de Eduard Punset. No ganó nunca un Novel, no se cuantos ensayos, estudios, informes publicó a lo largo de su vida, pero como divulgador, lo hizo BRUTAL. Acercando al público generalista la ciencia de manera amena. Felix Rodriguez de la Fuente, Arguiñano, Chema Alonso... grandes profesionales que tu gusten más o menos, han hecho un INCREIBLE trabajo divulgativo y el MVP va de esto.

Conozco gente auténticamente CRACK en su terreno, en la ciberseguridad. Que trabajan en grandes proyectos con grandes clientes, y se merecen un premio por ello, por su excelente labor, pero eso no se llama MVP.

En mi caso creo que me suelen otorgar el premio por dos actividades principales, mis charlas y mis artículos.

Este último año he escrito cosas de las mías, relacionadas con productos o servicios de Microsoft más de 20 veces.

Más de 20 veces que he dedicado mucho tiempo a escribir, a hacer laboratorios o pruebas de concepto, a escribir, a revisar el texto, a publicarlo.

No quiere decir que mi contenido sea el mejor, sino que me he esforzado porque alguno de los que me leeis os informeis, aprendais, critiqueis o que dentro de 3 años aparezca en una búsqueda en Google.

Si quieres ser MVP de Microsoft, o cualquier de otros reconocimientos que existen (Vmware, Oracle, Google, etc) lo único que tienes que hacer es sentir pasión por lo que haces, y que te guste contribuir comunitariamente con ello.

No hay periodos, yo tuve en el 2000 mi primer kinomakino.tk y el premio MVP me lo dieron en 2015.

No hay caminos, esto es solo que tenemos la suerte que nos recompensan, pero quizás la vida no siempre sea todo lo justa que debería y puede que durante un tiempo no te recompensen, pero da igual !!! vuelvo al punto anterior, esto lo haces por pasión, no por reconocimiento.

Respecto al premio en si, conlleva una serie de ventajas como canales de comunicación más cercanos con grupos de noticias, desarrollo de productos, organización de actividades, y algunos premios más "tangibles" o materiales como subscripciones, descuentos en exámenes, licencias para probar productos y servicios como Azure, pegatinas y lo mejor de todo, poder ir a MVP Summit anual en Redmond para conocer de primera mano el futuro de Microsoft, y en parte, del mundo.

Espero que os haya gustado el post y animaros a que seáis los mejores del mundo en lo que hagáis, seais los MVP de todo, ya sea el trabajo, como padre/madre, como amigo, como cocinero o como deportista... al final la vida es el camino que hacemos, porque el fin sabemos cual es, por lo que te animo a que disfrutes del camino, y si es relacionado con el mundo Microsoft, ayudes como puedas porque quizás algún día te mande ese correo...

Gracias por leerme !!!!