Estimados amigos de Inseguros !!!
En el post de hoy vamos a introducirnos en una herramienta de análisis de configuracíón para Azure, no solo O365 como reza el nombre.
Pero antes de nada, voy a empezar por hablar del autor, un español... de Triana, el señor Juan Garrido, Triana para los amigos.
*Este hombre es un referente en ciberseguridad en España, desde hace muchos años. Yo lo admiro mucho por varios motivos, sin importar el orden, ha sido MVP durante muchos años, contribuyendo con su blog y conferencias por todo el mundo. Sigue siendo habitual en los mejores eventos de ciberseguridad, y sobre todo con proyectos de valor como su herramienta Vouyer. Un experto en tecnologías Microsoft, y en procesos de pentesting. Alguna vez lo he oido decir eso, que se le considera "windosero" pero que su día a día es lidiar con los más florido del ciberespacio :-)
Pero no es por esto por lo que más lo admiro, sino por su trato. He hablado con él dos veces en persona quizás, pero SIEMPRE me ha tratado como un igual, o al revés, siempre me ha dicho: hola máquina !!! tal cual. un tio de los que te hace sentir importante a ti, no al revés, cuando debería ser así.
Que menos que este pequeño reconocimiento personal, aparte, que me aprovecho de su herramienta ( esto ha sonado raro? xD ) y espero que vosotros tambien.*
Seguimos con la herramienta.
Monkey365 recopila información desde GRAPH, la api de acceso a los registros de Azure por lo que he visto y tiene acceso a los siguientes servicios:
Azure SQL Databases
Azure MySQL Databases
Azure PostgreSQL Databases
Azure Active Directory
Storage Accounts
Classic Virtual Machines
Virtual Machines V2
Security Status
Security Policies
Role Assignments (RBAC)
Security Patches
Security Baseline
Security Center
Network Security Groups
Classic Endpoints
Azure Security Alerts
Azure Web Application Firewall
Azure Application services
The following Microsoft 365 applications are supported by Monkey365:
Exchange Online
Microsoft Teams
SharePoint Online
OneDrive for Business
El proceso de instalación está perfectamente explicado en el
Github del proyecto, como no iba a ser menos.
Como tiene unos ejemplos de uso, vamos a por ello y hacemos un:
Invoke-Monkey365 -PromptBehavior SelectAccount -Instance Azure -Analysis All -TenantID 00000000-0000-0000-0000-000000000000 -ExportTo HTML
Nos pide autenticación y el poco tiempo tenemos la magia del report.
Como puedes ver, nos muestra la información que provien de Alertas.
Una de las cosas que me flipa, es que está mapeado el
control CIS de azure y de
M365 con la regla que ha buscado.
En otras ocasiones, por ejemplo mirando configuraciones de la suscripción, vemos como incluso nos aparece una guía de resolución del hallazgo.
La herramienta está diseñada por un auditor para ayudar en su trabajo, por lo que debemos comprender en profundidad qué está haciendo. No esperes copiar el ejemplo y que funcione. Si, funcionará en muchos casos, en otros no.
Haciendo varias pruebas en varios entornos, he tenido que jugar con los parámetros, por ejemplo, en un entorno en el que el usuario que tenía ( hacking) no tenía suscripción activa, era solo miembro del Azure AD, si le tiras al ejemplo que he puesto no te da nada, porque estás preguntando a la suscripción.
En mi caso lo que he hecho es copiarme los ejemplos en un notepad, ver qué hace, qué parametros toma, y crearme mi "comando" para resolver el caso que tenía delante. Si no eres capaz de esto, no puedes hackear el mundo xD xD xD.
Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.
