martes, 18 de octubre de 2022

De TTP Mitre a GPO usable con unos clicks: Eventlist Tool

 Estimados amigos de Inseguros !!!

Al que pregunte por Mitre lo mandamos al pasillo 15 días !! :-) 

Conocer los TTP´s Mitre es muy interesante, como siempre decimos, para conocer las "virtudes" de los atacantes y conocer como debemos defendernos los buenos. Por el camino tenemos la detección.

Como sabéis, en los entornos Microsoft hay que lidar con una buena configuración de eventos. En Linux también... Si no activamos las opciones de auditoría avanzada en las GPO´s no registraremos eventos de valor que a posteriori, puedan ser consultados.


Lo que siempre digo, primero instala las cámaras de video para poder consultar las cintas... 

En esta ocasión os traigo un proyecto que puede serviros para vuestros inicios, o si estáis haciendo simulación de adversarios, o si estáis intentanto ahorrar costes en el SIEM con eventos de mucho valor.

La herramienta se llama Eventlist. Aplausos para Miriam Xyra 

Es un conjunto de scripts en Powershell, con una interface gráfica, que nos permite hacer cosas tan jugosas como seleccionar uno o varios TTP´s, generarnos una liasta de id de eventos que necesitamos para detectar el TTP´s. También nos genera un fichero donde usar la conversión de reglas Sigma a nuestro SIEM. También nos ayuda con el forwarder Splunk para delimitar que eventos quiero ingestar, y no meterle un "select * " de todos los logs que si, nos dará mucha visibilidad, pero aumentará la tarifa de EPS...

Pero lo que más me gusta así para comenzar, es que nos genera una GPO con las opciones necesarias para habiltar los eventos necesarios para la detección.


Súper simpático. Os aconsejo que le déis un vistazo, seguro que le encontráis utilidades interesantes.

Como siempre, espero que os guste y gracias por leerme !!!

Y si te gusta este contenido, te animo a que te registre para estar al día de nuevos post, cursos, webinars, eventos etc.