Estimados amigos de Inseguros !!!
En este post os traigo una pedazo de solución de bajo coste para mejorar la vida del sysadmin, y también del Threat Hunter, ahora os contaré...
En primer lugar, vamos a usar una capacidad que nos da Azure ARC mediante su agente, de monitorizar nuestros equipos. NO solo cloud, CUALQUIERA. Esta capacidad va desde detectar un servicio nuevo, parado, iniciadio, hacer File integrity monitor, o decirnos el software instalado y los cambios. Más o menos lo que haríamos con OSSEC/ Wazuh.
Hacer un count del software y avisarme, servicios críticos, o monitorizar un fichero sensible. Montar un honey file para detectar cambios y así ransomware, etc.
Pero seguimos. Ahora vamos a usar un repositorio de CISA con las últimas vulnerabilidades explotadas. La url es esta:
Y cual es la magia? podemos cruzar la tabla "con mi software" con la tabla " esto se está explotando" para darnos, o bien una alerta proactiva y que actuemos, o una "alerta reactiva" en una invesigación, para poder trazar el inicio o alguna fase del Kill chain que haya explotado alguna vulnerabilidad.
Cómo ves, son dos cosas sencillas, distintas, y a coste céntimos.
En el curso de Monitorización y caza de incidentes de Azure que va a salir en unos días, explicamos más esto, os damos las KQL y lo explicamos todo.
Con esta información, podrás hacer tu pinitos, es muy fácil. Recuerda que yo te vendo tiempo, si te quieres ahorrar la "pelea" de hacerlo tu, ya sabes.
PERO si tienes dudas, o necesitas algo más, no dudes en pedírmelo, no pasa nada porque te mande la KQL o cualquier duda.
Gracias por leerme !!
Y RECUERDA:
El pack completo de cursos, en España, es GRATIS si tu empresa lo paga con crédito FUNDAE.
Aquí te dejo todos los cursos: https://academia.seguridadsi.com/cursos