Workbook para detectar recursos huérfanos en Azure

 Estimados amigos de Inseguros !!!

Los que trabajamos con Azure sabemos lo fácil que es adquirir servicios, que muchas veces no sabemos muy bien quien los paga :-) pero siempre los paga alguien :-)

No en serio, cuando creas una máquina virtual, muchas veces metes una ip pública, un storage adicional, o una logic app que hiciste para no se qué... y luego borras la máquina y se quedan recursos que pueden engrosar la factura mensual.

En este WorkBook, siguiendo las instrucciones, podemos controlar alguno de los recursos más habituales que suelen quedar huérfanos, sin uso, en nuestros grupos de rucursos.

Muy interesante para para la escoba de vez en cuando y mantener la casa limpia.

Espero que os guste, gran trabajo del autor 

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc. 

De TTP Mitre a GPO usable con unos clicks: Eventlist Tool

 Estimados amigos de Inseguros !!!

Al que pregunte por Mitre lo mandamos al pasillo 15 días !! :-) 

Conocer los TTP´s Mitre es muy interesante, como siempre decimos, para conocer las "virtudes" de los atacantes y conocer como debemos defendernos los buenos. Por el camino tenemos la detección.

Como sabéis, en los entornos Microsoft hay que lidar con una buena configuración de eventos. En Linux también... Si no activamos las opciones de auditoría avanzada en las GPO´s no registraremos eventos de valor que a posteriori, puedan ser consultados.

Lo que siempre digo, primero instala las cámaras de video para poder consultar las cintas... 

En esta ocasión os traigo un proyecto que puede serviros para vuestros inicios, o si estáis haciendo simulación de adversarios, o si estáis intentanto ahorrar costes en el SIEM con eventos de mucho valor.

La herramienta se llama Eventlist. Aplausos para Miriam Xyra 

Es un conjunto de scripts en Powershell, con una interface gráfica, que nos permite hacer cosas tan jugosas como seleccionar uno o varios TTP´s, generarnos una liasta de id de eventos que necesitamos para detectar el TTP´s. También nos genera un fichero donde usar la conversión de reglas Sigma a nuestro SIEM. También nos ayuda con el forwarder Splunk para delimitar que eventos quiero ingestar, y no meterle un "select * " de todos los logs que si, nos dará mucha visibilidad, pero aumentará la tarifa de EPS...

Pero lo que más me gusta así para comenzar, es que nos genera una GPO con las opciones necesarias para habiltar los eventos necesarios para la detección.

Súper simpático. Os aconsejo que le déis un vistazo, seguro que le encontráis utilidades interesantes.

Como siempre, espero que os guste y gracias por leerme !!!

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc. 

Posters y gráficos para apoyar la comunicación de seguridad a tus usuarios...by Microsoft

 Estimados amigos de Inseguros !!!

Seguro que andas arreglando las contraseñas, o vas a poner el MFA a todos, o quizás un portal de restablecimiento de contraseña Cloud. Cualquier política o cambio que se hace en la organización suele llevar apareado la difícil tarea de comunicarlo a los empleados. 

Mucho más constoso si tiene implicaciones en procesos críticos, o legales, donde tenemos que certificar que la comunicación ha sido exitosa ( TCP vs UDP xD).

En este post os traemos un enlace de Microsoft con cartéles, posters, mensajes de correo, etc para ayudarnos con los cambios más habituales del momento en cuestiones de seguridad.

Espero que os guste y que los uséis a vuestra necesidad. 

Gracias por leerme !!!

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc. 

Tengo una clave de Azure: y ahora qué? Situational Awareness

 Estimados amigos de Inseguros!!!

Como es normal, la experiencia es un grado,  y el continuo aprendizaje nos hace mejorar, y en esto de la ciber ni te cuento.

Cuando uno empieza con el hacking, quiere "romper" cosas... "acceder" a sistemas, pero cuando estás trabajando sabes que hay que conseguir unos objetivos, por ejemplo, en el de un pentester o hacking ético es ayudar al cliente a encontrar sus fallos y proponer mejoras.  Cuando accedes a una web y obtiene una SQLi no te limitas con eso, intentas seguir los distintos pasos dentro de una cadena de ataque, como podría ser persistencia, borrado de huellas, reconocimiento interno, etc.

Por el lado defensor, lamentablemente siempre se ha hecho esfuerzo en que esto no suceda, en el que el vector de entrada no exista... y nos encontramos con que las empresas no están preparadas a un ataque, ni por carencia de vulnerabilidades, ni por carencia de medios de detección y contención.

Bueno que me salgo... En esta ocasión vamos a dar algunos consejos para ese momento de compromiso inicial en el que te haces con unas credenciales de un Azure AD. Porque has hecho phishing, porque estás auditando, porque quieres simular un ataque, por lo que sea, pero te encuentras en esa situación.

Empezamos a hacer ruido y tirar herramientas? qué queremos conseguir? paso a paso.

Conciencia situacional sería en inglés sobre lo que vamos a hablar creo...

Yo empezaría a hacerme preguntas e intentar conocer las respuestas o a intuirlas. Qué usuario tengo? quien soy? Qué roles tengo? Está activado el MFA a nivel global? A qué servicios puedo acceder. Quienes son los usuarios con roles de admin. Qué seguridad, productos o servicios tiene el tenant?

Conocer un poco de esto te ayudará a saber quien eres y donde estás.

Nos vamos a conectar con nuestro az-connect y vamos a usar la suite PowerZure para realizar un análisis inicial

Como te decía antes, si la empresa tiene Defender y tiene sistemas de antivirus... se va a dar cuenta xD XD xD

En este caso es que he sido muy burro he instalado PowerZure en el propio DC de la empresa xD xD pero bueno, me gusta Defender con y sin acento.

Con esto Invoke-Powerzure -h tenemos una tabla con todos los cmdlets disponibles para nuestra enumeración, por si no te acuerdas siempre.

El propósito del post no es dar una lección de enumeración de Azure. Ya tienes estos comandos y lo que hacen, MUY descriptivos, y artículos de Powerzure creo que hay unos cuantos. Lo mismo algún día subo alguno,  pero el propósito del post es invitaros a que tengais una lógica de actuación, que paréis y penséis los pasos, e intentar hacer algo más que sacar herramientas :-)

Espero que os guste, gracias por leerme !!!

Hardening Kitty: Fortifica tu entorno a golpe de click...por ejemplo contra el CIS

 Estimados amigos de Inseguros !!!

Que me gustan los gatos no es nada nuevo... que me gustan los entornos Microsoft mucho menos... buscando cosas por la internete, encontré esta preciosa herramienta :-)

HardeningKitty es un script que hace unas comprobaciones sobre algunos settings de seguridad "comunes" y nos permite realizar varias acciones de fortificación. El autor es el señor Michaele Schneider https://twitter.com/0x6d69636b

Lo primero en estos casos que os recomiendo es emplear la opción de auditoria que tiene. 

Nos muestra en un bonito csv los datos del estado de nuestras instalación. En estos procesos de fortificación es IMPORTANTE no, lo siguiente, conocer muy mucho qué está haciendo la tool, que cambios nos propone, que implicación tiene en nuestro entorno estos cambios, en nuestros procesos...

No vayas a poner un sistema de huella dactilar en una empresa si tienes usuarios mancos...o como hizo un amigo que le vendió un coche a un parapléjico, que estaba IMPLICITO que debía llevar un sistema de marchas específico en el volante, y a mi se le pasó.... El tipo espero 3 meses y le llego ... en fin... Seguimos xD

Cuando ofrecemos estos servicios a los clientes, hacemos mucho hincapié en que no podemos darle este servicio llave en mano. Es un trabajo conjunto, con un proceso concreto, y no simplemente una ejecución de herramientas.

Las teclas del piano son sencillas, importamos el módulo e invocamos la magia:

Import-Module .\Invoke-HardeningKitty.ps1
Invoke-HardeningKitty -Mode Audit -Log -Report

Esto es un server 2019 con un dc dejado caer como va en la caja. Mis resultados lo corroboran :-)

Your HardeningKitty score is: 3.29. HardeningKitty Statistics: Total checks: 329 - Passed: 75, Low: 51, Medium: 201, High: 2.

Unas de las opciones que nos indica el autori es la posibilidad de ejecutar un backup de los datos que ha comprbado, para que cuando hagamos el proceso de "liarla" xD podemos hacer una marcha atrás.

Invoke-HardeningKitty -Mode Config -Backup

Me genera un csv con las claves del registro que me propone cambiar.

Otra de las cosas interesantes que nos ofrece es mapear los controles por ejemplo del CIS en nuestra auditoria. Podemos usar una de listas que nos propone el autor y ver el score asociado.

Invoke-HardeningKitty -Mode Config -Backup -FileFindingList .\lists\finding_list_cis_microsoft_windows_server_2019_1809_1.1.0_machine.csv

Si lo que queremos hacer es aplicar los findings, usamos -Mode HailMary con el nombre de la lista.

Agunas configuraciones que nos muestran son muy evidentes, pero repasa cada una, o mejor aún, úsalo como checklist y ve manualmente cambiando valores, porque puedes liarla mucho xD

Si quieres conocer de primera mano cada valor, ya sabes que soy profesor de un Master muy potente de ciberseguridad Microsoft. Contacta conmigo si quieres más información.

Gracias por leerme !!!

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.