Una bifurcación de DetectionLab con una pila ELK

Laboratorio de Ensayos ELK Este es el laboratorio perfecto si desea desarrollar capacidades de prueba efectivas. Está diseñado pensando en los defensores. Su objetivo principal es permitir que los equipos azules construyan rápidamente un dominio de Windows preinstalado con herramientas de seguridad y algunas mejores prácticas con respecto a la configuración de syslog. Puede modificarse fácilmente para adaptarse a la mayoría de las necesidades o ampliarse para incluir hosts adicionales.

Ejemplo

Un caso de uso popular para DetectionLabELK es cuando está considerando adoptar el marco MITRE ATT&CK y desea desarrollar detecciones para su estrategia. Puede usar DetectionLabELK para ejecutar rápidamente pruebas atómicas, ver los registros que se generan y compararlos con su entorno de producción. Esto le permite:

• Verifique que su registro de producción funcione como se esperaba.
• Asegúrese de que su SIEM esté recopilando los eventos correctos.
• Mejore la calidad de las alertas al reducir y eliminar los falsos positivos.
• Minimizar las brechas de cobertura.

Información de laboratorio

• nombre de dominio: windomain.local
• Inicio de sesión de administrador de Windows: deambulando: deambulando
• Inicio de sesión de flota: https://192.168.38.105:8412 – vagabundo: vagabundo
• Iniciar sesión: http://192.168.38.105:5601 – vagabundo: vagabundo
• Inicio de sesión de Microsoft ATA: https://192.168.38.103 – vagabundo: vagabundo
• Inicio de sesión Guacamole: http://192.168.38.105:8080/guacamole-vagabundo:vagabundo
• rapaz: https://192.168.38.105:9999 – vagabundo: vagabundo

Funciones principales del laboratorio

• El análisis avanzado de amenazas de Microsoft está instalado en la máquina WEF y la puerta de enlace ATA ligera está instalada en el DC
• El repetidor Windoes Evenet y Winlogbeat están preinstalados, y todos los índices se crean previamente en ELK. Los complementos de tecnología para Windows también están preconfigurados.
• Personalice la configuración de auditoría de Windows a través de la configuración de GPO para incluir la auditoría de procesos de línea de comandos y otros registros de nivel de sistema operativo
• Suscripciones de reenvío de eventos de Windows de Palantir y canales personalizados implementados
• El registro de secuencias de comandos de Powershell está habilitado.Todos los registros se guardan en \wefpslogs
• osquery está instalado en cada host y está preconfigurado para conectarse al servidor de flota a través de TLS. La flota está preconfigurada con la configuración de la configuración osquery de Palantir
• Sysmon se instala y configura utilizando la configuración de código abierto de Olaf
• Todos los elementos de inicio automático se registran en el registro de eventos de Windows a través de AutorunsToWinEventLog
• Auditoría SMBv1 habilitada

anfitrión de laboratorio

1. DC: controlador de dominio de Windows 2016
   • GPO de configuración del servidor WEF
   • GPO de registro de PowerShell
   • Política de auditoría de Windows mejorada GPO
   • Simón
   • Preguntar
   • Reenviador de Beats elásticos (reenviadores de Sysmon y osquery)
   • Herramientas internas del sistema
   • Puerta de enlace ligera de análisis avanzado de amenazas de Microsoft
2. Foro Económico Mundial – Windows 2016 Server
   • Análisis de amenazas avanzadas de Microsoft
   • Captor de eventos de ventanas
   • Creación de suscripción de eventos de Windows
   • Uso compartido de registros de transcripción de Powershell
   • Simón
   • Preguntar
   • Repetidor de Beats elástico (hacia adelante WinEventLog y Powershell y Sysmon y osquery)
   • Herramientas internas del sistema
3. Win10: estación de trabajo con Windows 10
   • estación de trabajo de empleado simulada
   • Simón
   • Preguntar
   • Herramientas internas del sistema
4. Registrador – Ubuntu 18.04
   • flor de madera
   • gerente de osquería de flota
   • hermano
   • Surikatá
   • Reenviador de Beats elásticos (reenvíos Bro logs y Suricata y osquery)
   • palta
   • rapaz

Exigir

• Más de 55 GB de espacio libre en disco
• 16GB+ RAM
• Vagrant 2.2.2 o posterior
• caja virtual

Opciones de implementación

1. Uso de Vagrant Cloud Boxes – ETA ~2 horas.
   • Instala Vagrant en tu sistema.
   • Instale Packer en su sistema.
   • Instale el complemento Vagrant-Reload ejecutando el siguiente comando: vagrant plugin install vagrant-reload.
   • Descargue DetectionLabELK a su computadora local ejecutando git clone https://github.com/cyberdefenders/DetectionLabELK.git Descarga directamente desde la línea de comandos o a través de este enlace.
   • cd Vaya a «DetectionLabELK/Vagrant» y ejecute vagrant up.
2. Construyendo una caja desde cero – ETA ~5 horas.
   • Instala Vagrant en tu sistema.
   • Instale Packer en su sistema.
   • Instale el complemento «Vagrant-Reload» ejecutando el siguiente comando: vagrant plugin install vagrant-reload.
   • Descargue DetectionLabELK a su computadora local ejecutando git clone https://github.com/cyberdefenders/DetectionLabELK.git Descarga directamente desde la línea de comandos o a través de este enlace.
   • cd Vaya al directorio base «DetectionLabELK» y cree el laboratorio ejecutando ./build.sh virtualbox (Mac y Linux) o ./build.ps1 virtualbox (Ventanas).