PurpleCloud
1.1.1
Terraform-Codegenerator zum Erstellen verschiedener Azure-Sicherheitslabore.
Die vollständige Dokumentation finden Sie unter: https://www.purplecloud.network
Auf sentinel.py: Weitere Kategorien für die Protokollierung und das Senden an die LAW hinzugefügt, darunter: NonInteractiveUserSignInLogs, ServicePrincipalSignInLogs, ManagedIdentitySignInLogs.
Auf sentinel.py: Auf jedem Windows 10-System wurden weitere Managed Identity VM-Angriffspfade hinzugefügt. Für die vom Benutzer zugewiesenen Rollen „Besitzer“, „Mitwirkender virtueller Maschinen“ und „Key Vault-Leser“ hinzugefügt. Auf „SystemAssigned“ wurden die Rollen „Mitwirkender“, „Mitwirkender für virtuelle Maschinen“ und „Key Vault-Leser“ hinzugefügt.
Auf sentinel.py: Aktualisierte automatische Installation des neuen Azure Monitor Agent (AMA) auf DC und allen Windows-Endpunkten! Von nun an senden alle Windows-Endpunkte automatisch Protokolle an Log Analytics Workspace/Sentinel. Aktualisierter Erkennungsregelfilter für Sysmon- und Windows-/Sicherheitsereignisprotokolle.
Auf sentinel.py: Managed Identity VM-Angriffspfad hinzugefügt.
Auf sentinel.py: Diagnoseeinstellung für automatisierte Terraform-Bereitstellung hinzugefügt, um Entra-ID-Protokolle an Log Analytics Workspace/Sentinel zu senden
Auf sentinel.py: Auf dem Domänencontroller wurde die Sysmon-Installation hinzugefügt und alle Sysmon-/Sicherheitsprotokolle werden an LAW/Sentinel gesendet
Auf sentinel.py: Auf dem Domänencontroller wurde CSE entfernt und die AD Forest-Installation über Powershell optimiert
Auf sentinel.py: Unter allen Windows: Powershell Core und OpenSSH-Server hinzugefügt, Remote-Powershell über SSH-Sitzungen
Auf sentinel.py: Elastic Detection Rules und APT Simulator entfernt
Auf sentinel.py, ad.py: Aktualisierte ART-Installation auf die neueste Methode für einfaches Invoke-Atomics
Auf sentinel.py, ad.py: Installationsfehler für Elastic Detection Rules behoben
Auf „managed_identity.py“ wurde die Standard-VM-Größe in A1v2 geändert, um bessere Kosten zu erzielen.
Auf aadjoin.py wurde das Standardkennwort für Azure AD geändert, um Sonderzeichen zu entfernen.
Neuer Terraform-Generator hinzugefügt: adfs.py. Dadurch wird ein Verbund-ADFS-Labor mit einem DC erstellt.
Neuer Terraform-Generator hinzugefügt: aadjoin.py. Dadurch wird ein Azure AD Join-Labor mit verwalteten Windows 10-Geräten erstellt.
Verschiebt alle Generatoren in separate Unterverzeichnisse für eine sauberere Trennung von Terraform-Ressourcen und -Status sowie eine einfachere Verwendung
Archivverzeichnis für ältere Vorlagen entfernen
Löscht AAD Connect MSI auf dem Desktop des ADFS-Servers
Fügt PurpleSharp hinzu, um unter Windows 10 Pro immer herunterzuladen: ad.py, sentinel.py
Bootstrap-Skripte wurden aktualisiert, um immer das Archiv zu erweitern: ad.py, sentinel.py
Ein Problem mit dem neuen Verzeichnisnamen für Windows 10 wurde behoben
Managed_identity.py wurde geändert, um ein neues automatisches Whitelisting unter Verwendung der http-Datenressource von ifconfig.me zu verwenden
Anpassbare Azure AD Connect-MSI im Ordner files/dc enthalten.
Aktualisiert AAD Connect MSI auf Version 2.x
Automatischer Upload/Download auf den lokalen Administrator-Desktop von DC
Importieren Sie Ihre eigene CSV-Datei mit --csv file.csv . Muss einem bestimmten Format entsprechen, das im Abschnitt How AD Builds on the DC beschrieben wird
Unterstützt sowohl die AD DS-Codegeneratoren sentinel.py als auch ad.py
Local-exec- und Ansible-Abhängigkeiten entfernt. Die gesamte Verwaltung nach der Konfiguration erfolgt mit Benutzerdaten und Bash/Powershell.
Alle Dateien im Bereich (winlogbeat, sysmon, sysmon-config) wurden so geändert, dass sie eigenständig und anpassbar für den Upload in/aus einem Speichercontainer sind.
Sysmon auf Version 14 und die neueste SwiftOnSecurity Sysmon-Config aktualisiert
Velociraptor auf Version 6.5.2 aktualisiert
Erstellen Sie ein Azure Sentinel-Labor mit optionaler Unterstützung für den Versand von Windows 10 Sysmon- und Sicherheitsprotokollen in Sentinel Log Analytics Workspace. Erstellen Sie optional Active Directory mit Domänenbeitritt.
Sie können schnell eine mehrinstanzenfähige Azure Ad-Anwendung einrichten, die für App-Zustimmungs-Phishing-Simulationen verwendet werden soll. Es erstellt automatisch typische API-Zustimmungsberechtigungen wie das Lesen von E-Mails und Dateien, kann jedoch für alle unterstützten Berechtigungen angepasst werden, die Sie benötigen.
Erstellen Sie drei neue Sicherheitslabore für verschiedene Anwendungsfälle. Sie können schnell ein Azure Sentinel-Sicherheitslabor, ein Azure-Speicherkonto mit Dateifreigaben, Containern, Blobs und Beispieldateien, einrichten. Dazu gehört auch ein Azure Key Vault mit Ressourcen. Oder erstellen Sie ein von Azure verwaltetes Identitätssicherheitslabor für Angriffsoperationen und Netzwerkverteidiger. Weitere Einzelheiten finden Sie in der vollständigen Dokumentation.
Es wurde Unterstützung für das dynamische Hinzufügen einiger Dienstprinzipal-Missbrauchsangriffsprimitive hinzugefügt. Dazu gehört das dynamische Hinzufügen eines Anwendungsadministrators zu einem zufälligen Azure AD-Benutzer ( -aa ), eines privilegierten Rollenadministrators zu einem zufälligen Anwendungs-SP ( -pra ) sowie eines globalen Administratorrollenziels zu einem zufälligen Anwendungs-SP ( -ga ). Weitere Informationen finden Sie in den folgenden Anwendungsbeispielen für azure_ad.py . Wir haben außerdem Angriffsskripte für das Dienstprinzipal-Missbrauchsszenario im Verzeichnis attack_scripts hinzugefügt.
PurpleCloud hat sich verändert! Einführung eines Terraform-Generators mit Python. Anstatt Terraform-Vorlagen anzubieten, die manuell bearbeitet werden müssen, ist der Ausgangspunkt ein Python-Terraform-Generator. Die Python-Skripte erstellen Ihre eigenen benutzerdefinierten Terraform-Dateien basierend auf Benutzereingaben. Die Terraform-Vorlagendateien wurden ins Archiv verschoben.
