PurpleCloud

التوثيق

منشئ كود Terraform لإنشاء مختبرات أمان Azure مختلفة.

للحصول على الوثائق الكاملة قم بزيارة: https://www.purplecloud.network

سجل التغيير

18/10/24: تم تحديث Azure Sentinel Generator (فئات سجل إعداد تشخيص AADDiagnostic المحدثة)

• على Sentinel.py: تمت إضافة المزيد من الفئات للتسجيل والإرسال إلى القانون، بما في ذلك: NonInteractiveUserSignInLogs، وServicePrincipalSignInLogs، وManagedIdentitySignInLogs.

16/10/24: تم تحديث Azure Sentinel Generator (أدوار الهوية المُدارة المحدثة)

• على Sentinel.py: تمت إضافة المزيد من مسارات هجوم VM للهوية المُدارة على كل نظام يعمل بنظام Windows 10. تمت إضافته لأدوار المالك، والمساهم في الجهاز الظاهري، وKey Vault Reader التي يحددها المستخدم. في SystemAssigned، تمت إضافة أدوار المساهم والمساهم في الجهاز الظاهري وقارئ Key Vault.

20/08/24: تم تحديث Azure Sentinel Generator (تحديث هندسة الكشف: احصل على سجلات نقطة النهاية وEntra في نفس القانون)

• على Sentinel.py: تم تحديث التثبيت الآلي الجديد لـ Azure Monitor Agent (AMA) على العاصمة وجميع نقاط نهاية Windows! من الآن فصاعدًا، تقوم جميع نقاط نهاية Windows تلقائيًا بإرسال السجلات إلى Log Analytics Workspace / Sentinel. تم تحديث عامل تصفية قاعدة الكشف لسجلات أحداث Sysmon وWindows / Security.

• على Sentinel.py: تمت إضافة مسار هجوم VM للهوية المُدارة.

• على Sentinel.py: تمت إضافة النشر الآلي للإعدادات التشخيصية لإرسال سجلات معرف Entra إلى Log Analytics Workspace / Sentinel

• على Sentinel.py: في وحدة تحكم المجال، تمت إضافة تثبيت Sysmon وإرسال جميع سجلات Sysmon/Security إلى LAW/Sentinel

• على Sentinel.py: في وحدة تحكم المجال، تمت إزالة محرك البحث المخصص (CSE) وتبسيط تثبيت AD Forest من خلال powershell

• على Sentinel.py: على جميع أنظمة التشغيل Windows: تمت إضافة خادم Powershell Core وخادم OpenSSH، وPowershell البعيد عبر جلسات SSH

• على Sentinel.py: تمت إزالة قواعد الكشف المرنة ومحاكي APT

18/2/24: تحديث تثبيت الفريق الأحمر الذري (ART).

• على Sentinel.py، ad.py: تم تحديث تثبيت ART إلى أحدث طريقة لتسهيل Invoc-Atomics

• على Sentinel.py، ad.py: تم إصلاح خطأ التثبيت لقواعد الكشف المرنة

18/11/22: تم تحديث Manage_identity.py وaadjoin.py

• في Manage_identity.py، غيّر حجم VM الافتراضي إلى A1v2 لتوفير تكلفة أفضل.

• على aadjoin.py، غيّر كلمة مرور Azure AD الافتراضية لإزالة الأحرف الخاصة.

3/11/22: تمت إضافة مولدات Terraform جديدة: ADFS وAADJoin

• تمت إضافة مولد Terraform جديد: adfs.py. يؤدي هذا إلى إنشاء معمل ADFS الفيدرالي مع DC.

• تمت إضافة مولد Terraform جديد: aadjoin.py. يؤدي هذا إلى إنشاء معمل Azure AD Join مع الأجهزة المُدارة التي تعمل بنظام التشغيل Windows 10.

• ينقل جميع المولدات إلى أدلة فرعية منفصلة من أجل الفصل الأنظف لموارد التضاريس والحالة وسهولة الاستخدام

• إزالة دليل الأرشيف للقوالب القديمة

• يسقط AAD توصيل msi على سطح مكتب خادم ADFS

• يضيف PurpleSharp للتنزيل دائمًا على نظام التشغيل Windows 10 Pro: ad.py, Sentinel.py

• تم تحديث البرامج النصية للتمهيد لتوسيع الأرشيف دائمًا: ad.py، Sentinel.py

8/9/22: تم تحديث منشئ الهوية المُدارة للقائمة البيضاء التلقائية لعنوان IP المصدر.

• تم إصلاح مشكلة واحدة تتعلق باسم الدليل الجديد لنظام التشغيل Windows 10

• تم تغيير Manage_identity.py لاستخدام القائمة البيضاء التلقائية الجديدة باستخدام مورد بيانات http الخاص بـ ifconfig.me

6/9/22: تم تحديث Azure AD Connect على وحدة تحكم المجال.

• يتم تضمين Azure AD Connect msi القابل للتخصيص في مجلد files/dc .

• تحديثات AAD Connect MSI إلى الإصدار 2.x

• التحميل/التنزيل التلقائي إلى سطح مكتب المسؤول المحلي لـ DC

2/9/22: تمت إضافة دعم لملفات CSV المخصصة لتحميل مستخدمي AD، والمجموعات، والوحدات التنظيمية الخاصة بك في AD DS.

• قم باستيراد ملف CSV الخاص بك باستخدام --csv file.csv . يجب أن يتوافق مع تنسيق محدد موضح في How AD Builds on the DC

• مدعوم لكل من مولدات التعليمات البرمجية sentinel.py و ad.py AD DS.

1/9/22: تمت إزالة المدير التنفيذي المحلي وغير القابل للتنفيذ! ملفات قابلة للتخصيص! ترقية Sysmon و Velociraptor.

• تمت إزالة تبعيات exec المحلية والتبعيات غير القابلة للتنفيذ. تتم جميع عمليات إدارة ما بعد التكوين باستخدام بيانات المستخدم وbash/powershell.

• تم تغيير كافة الملفات الموجودة في النطاق (winlogbeat، sysmon، sysmon-config) لتكون مستقلة وقابلة للتخصيص للتحميل من/إلى حاوية تخزين.

• تمت ترقية Sysmon إلى الإصدار 14 وأحدث إصدار من SwiftOnSecurity Sysmon-Config

• تمت ترقية فيلوسيرابتور إلى الإصدار 6.5.2

4/8/22: تم تحديث Sentinel Lab لبناء Active Directory + شحن Sysmon وسجلات الأمان إلى Sentinel!

أنشئ معمل Azure Sentinel مع دعم اختياري لشحن سجلات Windows 10 Sysmon وSecurity إلى مساحة عمل Sentinel Log Analytics. يمكنك اختياريًا إنشاء Active Directory باستخدام Domain Join.

2/8/22: تمت إضافة مولد Terraform جديد: تطبيق التصيد الاحتيالي

يمكنك تشغيل تطبيق Azure Ad متعدد المستأجرين بسرعة لاستخدامه في محاكاة التصيد الاحتيالي للموافقة على التطبيق. يقوم تلقائيًا بإنشاء أذونات موافقة API نموذجية مثل قراءة البريد الإلكتروني والملفات، ولكن يمكن تخصيصها لأي أذونات مدعومة تحتاجها.

18/07/22: تمت إضافة ثلاثة مولدات Terraform جديدة: Azure Sentinel وAzure Storage وAzure Managed Identity

قم بإنشاء ثلاثة مختبرات أمنية جديدة لحالات استخدام مختلفة. يمكنك إنشاء معمل أمان Azure Sentinel بسرعة، وحساب تخزين Azure مع مشاركات الملفات، والحاويات، والكائنات الثنائية الكبيرة الحجم، ونماذج الملفات. يتضمن هذا أيضًا Azure Key Vault مع الموارد. أو قم بإنشاء معمل أمان الهوية المدار من Azure للعمليات الهجومية والمدافعين عن الشبكة. راجع الوثائق الكاملة لمزيد من التفاصيل.

13/05/22: تمت إضافة دعم اختياري لهجوم إساءة استخدام الخدمة الرئيسية

تمت إضافة دعم لإضافة بعض أساسيات هجوم إساءة استخدام الخدمة الأساسية ديناميكيًا. يتضمن ذلك إضافة مسؤول التطبيق ديناميكيًا إلى مستخدم Azure AD عشوائي ( -aa )، ومسؤول دور مميز إلى تطبيق عشوائي SP ( -pra )، بالإضافة إلى دور مسؤول عام مستهدف لتطبيق عشوائي SP ( -ga ). راجع أمثلة استخدام azure_ad.py أدناه لمزيد من المعلومات. أضفنا أيضًا نصوصًا برمجية للهجوم لسيناريو إساءة استخدام الخدمة الأساسي في دليل attack_scripts .

14/2/22: تحديثات عيد الحب: مولد Python Terraform

لقد تغير PurpleCloud! تقديم مولد Terraform باستخدام بايثون. بدلاً من تقديم قوالب تضاريس يجب تحريرها يدويًا، فإن نقطة البداية هي مولد تضاريس بايثون. ستقوم نصوص بايثون بإنشاء ملفات terraform المخصصة الخاصة بك بناءً على إدخال المستخدم. تم نقل ملفات قالب terraform إلى الأرشيف.