Seguridad

Monitoriza alertas en Azure sin SIEM con unos clicks…AzDetectSuite…ejemplo honeypot PasswordSpray

 Estimados amigos de Inseguros !!!

Una de las cuestiones que más preocupa a clientes es la cuestión de la detección de intentos de ataques en Azure AD, y por lo tanto en O365…

Al igual que en WIndows tenemos que generar eventos, que vemos en el Visor de Eventos, sino los “accionamos”, si no le damos detrás un software para que “haga cosas”, como el SIEM, en Azure pasa igual.

En este pequeño post os traigo un proyecto de Microsoft que me gusta, porque sirve muy bien para adentrarnos en la monitorización de eventos.

El concepto es muy sencillo. Nos vamos a nuestro Azure, creamos un espacio Log Analytics. Luego nos vamos a Azure AD, y configuramos la monitorización para que “vuelque” los logs en ese Log Analytics

Ahora nos toca esperar un poco. Yo me iría al Workspace y empezaría por generar una consulta KQL que me diga los SigningLogs. Una vez confirmemos que está recopilando logs de inicio de sesión, podemos seguir.

Bien, ya tenemos la “infra” montada. Ahora nos vamos al proyecto AzDetectSuite, y desplegamos las alertas de monitorización que los chicos de Redmon nos regalan. Estas reglas me valen para el Siem Sentinel o para Defender, al final es lenguaje KQL, pero hablamos de ahorrarnos unos eurillos prescindiendo de Sentinel…

Podríamos hacer “deploy to azure” que tanto me gusta, pero he encontrado fallos que imagino irán solventando.

Vamos a probar con la detección de Password Spraying, que es muy sencilla. 

Básicamente la plantilla nos crea una alerta, con una query, que busca signinlogs de un id usuario concreto.
Ahora podemos crearnos un usuario sin permisos, con una clave débil, relacionado con mi empresa, por ejemplo Miempresa2023. Apuntamos el ID del usuario.
Nos vamos al proyecto en github, copiamos el JSON. Nos vamos a Azure, buscamos Plantillas, y creamos una desde el principio.

Cuando la pegamos, debemos cambiar dos cosas, al menos, a fecha de hoy: la tabla se llama SigninLogs y no como va “de casa” y donde pone la KQL, cambiamos el id del usuario honeypot.
Desplegamos esto… y ya tenemos una alerta. Para comprobarlo todo, podemos buscar en azure: Alertas, entrar y ver Reglas de alerta.

En esta ventana veríamos las alertas, pero claro, nosotros queremos “engancharle” una acción, por ejemplo, que envíe un correo, o que ejecute algo, nos están atacando !!!
Nos vamos a la regla, y tenemos acciones.

Pero como tu ya sabes de esto, no hace falta que te lo diga… Aquí tienes la info de Microsoft…
Pero para los que quieren aprender, ya sabes que quedan plazas para el curso de Seguridad en Azure y Office 365 de este mes de Junio.
El MEJOR curso que puedes recibir ahora mismo, creeme, o pregunta a los alumnos pasados.
Volviendo al proyecto, me parece muy interesante AzDetectSuite ya que nos da una base para montar un buen sistema de detección low cost.
Como siempre, gracias por leerme !!!

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.