INSEGUROS Seguridad informática: Tips&Tricks AzureAd: Crear una alerta sin meten a un usuario a un grupo admin... sin usar SIEM

lunes, 19 de septiembre de 2022

Tips&Tricks AzureAd: Crear una alerta sin meten a un usuario a un grupo admin... sin usar SIEM

Estimados amigos de Inseguros!!!

Los que leeís el blog estaís acostumbrados a leer SIEM. Empezamos hace muchos años con AlienVault, ahora más con Microsoft Sentinel, pero no es algo nuevo.

Lo que no es nuevo es que estos sistemas son costosos, y que no todas las empresas han empezado con dicha andadura. O bien por costes, o por personal que les gestione las alertas, pero no lo encuentro en gran parte de mis clientes.

En el post de hoy vamos a mejorar la monitorización de eventos en nuestro Azure AD con herramientas "del sistema" para hacerlo más fácil y económico.

Pongamos por ejemplo que en un ataque, un maloso añade un usuario a un grupo administrador... deberíamos ser capaces de tener un correito con dicha alerta no?

Vamos a crear un Log Analytics Space, lo que sería un repositorio de almacenamiento donde irán los logs.

Los que usais Sentinel sabéis que logs se guardan en un spacio así, y se monta Sentinel por "encima" como softwara de ciberseguridad. Pero en esos Log Analytics podemos guardar casi cualquier cosa...

Es importante contar con que estos registros tiene un coste. Ponle 2 euros por gb... pero para este caso, una alerta de este tipo, nos va a consumir "céntimos". Podemos ver los precios aquí.

Entramos en Azure AAD, en Supervisión, Configuración de Diagnóstico... donde sino xD

Ahora agregamos una configuración, y activamos que eventos queremos guardar, y donde enviarlos.

En esta ocasión voy a ser generoso y voy a activar que guarde todos los logs relacionado con "login".

Ahora que tenemos los eventos, vamos a Azure Monitor y creamos una regla de alerta.

Ahora delimitamos, que para la suscripción que queremos, para el grupo de recursos que queremos, el log analytics que hemos creado.

En condición, le decimos que queremos una condición Búsqueda de registros personaliza... y aquí haremos la magía del KQL xD xD xD

Le decimos por ejemplo algo así:

AuditLogs | where OperationName contains "Add member to role"

Y en los umbrales, le decimos que mayo que 0 cada 5 minutos.

Por último añadimos una acción, como vimos en el artículo anterior, y hacemos una prueba.

Espero que os sirva de ayuda este pequeño gran consejo.

Gracias por leerme !!!