Lo último:
Seguridad

Tracking Change Con Azure

Gustavo Genez

 Estimados amigos de Inseguros !!!

En este post os traigo una pedazo de solución de bajo coste para mejorar la vida del sysadmin, y también del Threat Hunter, ahora os contaré…

En primer lugar, vamos a usar una capacidad que nos da Azure ARC mediante su agente, de monitorizar nuestros equipos. NO solo cloud, CUALQUIERA. Esta capacidad va desde detectar un servicio nuevo, parado, iniciadio, hacer File integrity monitor, o decirnos el software instalado y los cambios. Más o menos lo que haríamos con OSSEC/ Wazuh.

Una vez tenemos la configuración incial, tendremos en Log Analytics / Sentinel, una tabla denominada ConfigurationData. Qué podemos hacer con esta tabla, lo que queramos !!!

Hacer un count del software y avisarme, servicios críticos, o monitorizar un fichero sensible. Montar un honey file para detectar cambios y así ransomware, etc.
Pero seguimos. Ahora vamos a usar un repositorio de CISA con las últimas vulnerabilidades explotadas. La url es esta: 

Y cual es la magia? podemos cruzar la tabla «con mi software» con la tabla » esto se está explotando» para darnos, o bien una alerta proactiva y que actuemos, o una «alerta reactiva» en una invesigación, para poder trazar el inicio o alguna fase del Kill chain que haya explotado alguna vulnerabilidad.

Cómo ves, son dos cosas sencillas, distintas, y a coste céntimos.
En el curso de Monitorización y caza de incidentes de Azure que va a salir en unos días, explicamos más esto, os damos las KQL y lo explicamos todo.
Con esta información, podrás hacer tu pinitos, es muy fácil. Recuerda que yo te vendo tiempo, si te quieres ahorrar la «pelea» de hacerlo tu, ya sabes.
PERO si tienes dudas, o necesitas algo más, no dudes en pedírmelo, no pasa nada porque te mande la KQL o cualquier duda.
Gracias por leerme !!
Y RECUERDA:
El pack completo de cursos, en España, es GRATIS si tu empresa lo paga con crédito FUNDAE.
Aquí te dejo todos los cursos: https://academia.seguridadsi.com/cursos

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

EskyFun: un millón de jugadores expuestos

Gustavo Genez

Netskope presume de liderazgo en Security Service Edge

Gustavo Genez

GAIROSCOPE: un nuevo método de exfiltración de información por canales encubiertos

Gustavo Genez