パープルクラウド
1.1.1
さまざまな Azure セキュリティ ラボを作成するための Terraform コード ジェネレーター。
完全なドキュメントについては、https://www.purplecloud.network をご覧ください。
Sentinel.py: NonInteractiveUserSignInLogs、ServicePrincipalSignInLogs、ManagedIdentitySignInLogs など、ログを記録して LAW に送信するためのカテゴリを追加しました。
Sentinel.py について: 各 Windows 10 システムにマネージド ID VM 攻撃経路を追加しました。 ユーザー割り当ての所有者、仮想マシン共同作成者、Key Vault Reader のロールに追加されました。 SystemAssigned に、共同作成者、仮想マシン共同作成者、Key Vault Reader のロールが追加されました。
Sentinel.py について: DC およびすべての Windows エンドポイントへの新しい Azure Monitor Agent (AMA) の自動インストールが更新されました。 今後、すべての Windows エンドポイントはログを Log Analytics ワークスペース / Sentinel に自動的に送信します。 Sysmon および Windows / セキュリティ イベント ログの検出ルール フィルターを更新しました。
Sentinel.py: マネージド Identity VM 攻撃経路を追加しました。
Sentinel.py: Entra ID ログを Log Analytics ワークスペース / Sentinel に送信するための診断設定の自動 Terraform デプロイを追加しました。
Sentinel.py: ドメイン コントローラーに、Sysmon のインストールとすべての Sysmon/セキュリティ ログを LAW/Sentinel に送信する機能を追加しました。
Sentinel.py: ドメイン コントローラーで、CSE が削除され、PowerShell を介して AD フォレストのインストールが合理化されました。
Sentinel.py: すべての Windows: Powershell Core と OpenSSH サーバー、SSH 経由のリモート Powershell セッションを追加しました。
Sentinel.py: Elastic Detection Rules と APT Simulator を削除
Sentinel.py、ad.py: Invoke-Atomics を簡単にするために、ART のインストールを最新の方法に更新しました。
Sentinel.py、ad.py: Elastic Detection Rules のインストールのバグを修正
コストを削減するために、managed_identity.py でデフォルトの VM サイズをA1v2に変更しました。
aadjoin.py で、デフォルトの Azure AD パスワードを変更して特殊文字を削除しました。
新しい Terraform ジェネレーター: adfs.py を追加しました。 これにより、DC を使用したフェデレーション ADFS ラボが構築されます。
新しい Terraform ジェネレーター: aadjoin.py を追加しました。 これにより、Windows 10 管理対象デバイスを使用した Azure AD Join ラボが構築されます。
すべてのジェネレーターを個別のサブディレクトリに移動して、Terraform リソースと状態をより明確に分離し、使いやすくします。
古いテンプレートのアーカイブ ディレクトリを削除する
ADFS サーバーのデスクトップに AAD Connect msi をドロップします
Windows 10 Pro で常にダウンロードするように PurpleSharp を追加: ad.py、sentinel.py
常に展開アーカイブするようにブートストラップ スクリプトを更新しました: ad.py、sentinel.py
Windows 10 の新しいディレクトリ名に関する 1 つの問題を修正しました
ifconfig.me の http データ リソースを使用した新しい自動ホワイト リストを使用するように、managed_identity.py を変更しました。
カスタマイズ可能な Azure AD Connect msi は、 files/dcフォルダーに含まれています。
AAD Connect MSI をバージョン 2.x に更新します
DC のローカル管理者デスクトップへの自動アップロード/ダウンロード
--csv file.csvを使用して独自の CSV ファイルをインポートします。 How AD Builds on the DCセクションで説明されている特定の形式に準拠する必要があります。
sentinel.pyとad.py両方の AD DS コード ジェネレーターでサポートされています。
local-exec と ansible の依存関係を削除しました。 すべての構成後の管理は、ユーザーデータと bash/powershell を使用して行われます。
範囲内のすべてのファイル (winlogbeat、sysmon、sysmon-config) を自己完結型で、ストレージ コンテナーとの間でアップロードできるようにカスタマイズできるように変更しました。
Sysmon を v14 および最新の SwiftOnSecurity Sysmon-Config にアップグレードしました
ヴェロキラプトルを v6.5.2 にアップグレードしました
Windows 10 Sysmon およびセキュリティ ログを Sentinel Log Analytics ワークスペースに配布するためのオプション サポートを備えた Azure Sentinel ラボを構築します。 オプションで、ドメイン参加を使用して Active Directory を構築します。
アプリ同意フィッシング シミュレーションに使用するマルチテナント Azure Ad アプリケーションをすぐに起動できます。 電子メールやファイルの読み取りなどの一般的な API 同意権限が自動的に構築されますが、必要なサポートされている権限に合わせてカスタマイズできます。
さまざまなユースケースに対応する 3 つの新しいセキュリティ ラボを作成します。 Azure Sentinel セキュリティ ラボ、ファイル共有、コンテナー、BLOB、サンプル ファイルを含む Azure ストレージ アカウントをすぐに起動できます。 これには、リソースを含む Azure Key Vault も含まれます。 または、攻撃的な運用とネットワーク防御者向けに Azure マネージド ID セキュリティ ラボを作成します。 詳細については、完全なドキュメントを参照してください。
いくつかのサービス プリンシパル悪用攻撃プリミティブを動的に追加するためのサポートが追加されました。 これには、ランダムな Azure AD ユーザー ( -aa ) へのアプリケーション管理者、ランダムなアプリケーション SP への特権ロール管理者 ( -pra )、およびランダムなアプリケーション SP へのグローバル管理者ロール ターゲット ( -ga ) への動的追加が含まれます。 詳細については、以下のazure_ad.pyの使用例を参照してください。 また、サービス プリンシパル悪用シナリオ用の攻撃スクリプトをattack_scriptsディレクトリに追加しました。
パープルクラウドは変わりました! Pythonを使ったTerraformジェネレーターを紹介します。 手動で編集する必要がある Terraform テンプレートを提供するのではなく、Python Terraform ジェネレーターが出発点となります。 Python スクリプトは、ユーザー入力に基づいて独自のカスタム Terraform ファイルを作成します。 terraform テンプレート ファイルはアーカイブに移動されました。
