보라색구름
1.1.1
다양한 Azure 보안 랩을 생성하는 Terraform 코드 생성기입니다.
전체 문서를 보려면 https://www.purplecloud.network를 방문하세요.
sentinel.py에서: NonInteractiveUserSignInLogs, ServicePrincipalSignInLogs, ManagedIdentitySignInLogs를 포함하여 로깅 및 LAW 전송을 위한 더 많은 범주를 추가했습니다.
sentinel.py: 각 Windows 10 시스템에 더 많은 관리 ID VM 공격 경로를 추가했습니다. 사용자 할당에 소유자, 가상 머신 기여자, Key Vault 리더 역할이 추가되었습니다. SystemAssigned에 기여자, 가상 머신 기여자, Key Vault 리더 역할이 추가되었습니다.
sentinel.py: dc 및 모든 Windows 엔드포인트에서 새로운 AMA(Azure Monitor Agent) 자동 설치가 업데이트되었습니다! 이제부터 모든 Windows 엔드포인트는 자동으로 Log Analytics Workspace/Sentinel에 로그를 보냅니다. Sysmon 및 Windows/보안 이벤트 로그에 대한 탐지 규칙 필터가 업데이트되었습니다.
sentinel.py에서: 관리 ID VM 공격 경로가 추가되었습니다.
sentinel.py에서: Log Analytics Workspace/Sentinel에 Entra ID 로그를 보내기 위한 진단 설정 자동 Terraform 배포가 추가되었습니다.
sentinel.py: 도메인 컨트롤러에 Sysmon 설치를 추가하고 모든 Sysmon/보안 로그를 LAW/Sentinel로 보냅니다.
sentinel.py: 도메인 컨트롤러에서 CSE를 제거하고 powershell을 통해 AD 포리스트 설치를 간소화했습니다.
sentinel.py에서: 모든 Windows에서: Powershell Core 및 OpenSSH 서버 추가, SSH 세션을 통한 원격 Powershell
sentinel.py에서: 탄력적 탐지 규칙 및 APT 시뮬레이터가 제거되었습니다.
sentinel.py, ad.py: 간편한 Invoke-Atomics를 위한 최신 방법으로 ART 설치를 업데이트했습니다.
sentinel.py, ad.py: 탄력적 탐지 규칙에 대한 설치 버그 수정
Managed_identity.py에서 더 나은 비용을 제공하기 위해 기본 VM 크기를 A1v2 로 변경했습니다.
aadjoin.py에서 기본 Azure AD 암호를 변경하여 특수 문자를 제거했습니다.
새로운 Terraform 생성기(adfs.py)를 추가했습니다. 그러면 DC가 포함된 페더레이션 ADFS 랩이 구축됩니다.
새로운 Terraform 생성기(aadjoin.py)를 추가했습니다. 이렇게 하면 Windows 10 관리 장치를 사용하여 Azure AD Join 랩이 구축됩니다.
Terraform 리소스와 상태를 보다 명확하게 분리하고 사용하기 쉽도록 모든 생성기를 별도의 하위 디렉터리로 이동합니다.
이전 템플릿의 보관 디렉터리 제거
ADFS 서버의 데스크톱에 AAD 연결 msi를 삭제합니다.
Windows 10 Pro에서 항상 다운로드할 수 있도록 PurpleSharp를 추가합니다: ad.py, sentinel.py
항상 아카이브를 확장하도록 부트스트랩 스크립트 업데이트: ad.py, sentinel.py
Windows 10의 새 디렉터리 이름과 관련된 한 가지 문제가 해결되었습니다.
ifconfig.me의 http 데이터 리소스를 사용하여 새로운 자동 화이트리스트를 사용하도록 Managed_identity.py를 변경했습니다.
files/dc 폴더에 포함된 사용자 지정 가능한 Azure AD Connect msi.
AAD Connect MSI를 버전 2.x로 업데이트합니다.
DC의 로컬 관리자 데스크탑에 자동 업로드/다운로드
--csv file.csv 사용하여 고유한 CSV 파일을 가져옵니다. How AD Builds on the DC 섹션에 설명된 특정 형식을 준수해야 합니다.
sentinel.py 및 ad.py AD DS 코드 생성기 모두에서 지원됩니다.
local-exec 및 ansible 종속성을 제거했습니다. 모든 사후 구성 관리는 사용자 데이터 및 bash/powershell을 통해 수행됩니다.
범위 내의 모든 파일(winlogbeat, sysmon, sysmon-config)을 독립형으로 변경하고 스토리지 컨테이너로/에서 업로드할 수 있도록 사용자 정의할 수 있습니다.
Sysmon을 v14 및 최신 SwiftOnSecurity Sysmon-Config로 업그레이드했습니다.
벨로시랩터를 v6.5.2로 업그레이드했습니다.
Windows 10 Sysmon 및 보안 로그를 Sentinel Log Analytics Workspace로 전달하기 위한 선택적 지원을 통해 Azure Sentinel 랩을 구축하세요. 선택적으로 도메인 가입을 통해 Active Directory를 구축합니다.
앱 동의 피싱 시뮬레이션에 사용할 다중 테넌트 Azure Ad 애플리케이션을 빠르게 가동할 수 있습니다. 이메일 및 파일 읽기와 같은 일반적인 API 동의 권한을 자동으로 구축하지만 필요한 지원 권한에 맞게 사용자 정의할 수 있습니다.
다양한 사용 사례에 대해 세 가지 새로운 보안 랩을 만듭니다. 파일 공유, 컨테이너, Blob 및 샘플 파일이 포함된 Azure 스토리지 계정인 Azure Sentinel 보안 랩을 빠르게 가동할 수 있습니다. 여기에는 리소스가 포함된 Azure Key Vault도 포함됩니다. 또는 공격적인 운영 및 네트워크 방어자를 위한 Azure 관리 ID 보안 랩을 만드세요. 자세한 내용은 전체 설명서를 참조하세요.
일부 서비스 주체 남용 공격 기본 요소를 동적으로 추가하는 지원이 추가되었습니다. 여기에는 무작위 Azure AD 사용자( -aa )에 애플리케이션 관리자를 동적으로 추가하고, 무작위 애플리케이션 SP에 권한 있는 역할 관리자를 추가하고( -pra ), 무작위 애플리케이션 SP에 전역 관리자 역할 대상을 추가하는 작업( -ga )이 포함됩니다. 자세한 내용은 아래 azure_ad.py 사용 예를 참조하세요. 또한 attack_scripts 디렉터리에 서비스 주체 남용 시나리오에 대한 공격 스크립트를 추가했습니다.
퍼플클라우드가 달라졌어요! Python을 사용하는 Terraform 생성기를 소개합니다. 수동으로 편집해야 하는 Terraform 템플릿을 제공하는 대신 시작점은 Python Terraform 생성기입니다. Python 스크립트는 사용자 입력을 기반으로 사용자 정의 Terraform 파일을 생성합니다. Terraform 템플릿 파일이 아카이브로 이동되었습니다.
