ПурпурныйОблако
1.1.1
Генератор кода Terraform для создания различных лабораторий безопасности Azure.
Полную документацию можно найти на сайте: https://www.purplecloud.network.
В Sentinel.py: добавлено больше категорий для ведения журналов и отправки в LAW, в том числе: NonInteractiveUserSignInLogs, ServicePrincipalSignInLogs, ManagedIdentitySignInLogs.
В Sentinel.py: добавлено больше путей атаки на виртуальные машины с управляемой идентификацией в каждой системе Windows 10. Добавлено для ролей «Владелец», «Участник виртуальной машины», «Читатель Key Vault» по назначению пользователя. В SystemAssigned добавлены роли участника, участника виртуальной машины, читателя Key Vault.
В Sentinel.py: обновлена новая автоматическая установка агента Azure Monitor (AMA) на DC и всех конечных точках Windows! С этого момента все конечные точки Windows автоматически отправляют журналы в рабочую область Log Analytics/Sentinel. Обновлен фильтр правил обнаружения для журналов событий Sysmon и Windows/Security.
В Sentinel.py: добавлен путь атаки на виртуальную машину с управляемой идентификацией.
В Sentinel.py: добавлена настройка диагностики для автоматического развертывания terraform для отправки журналов Entra ID в рабочую область Log Analytics/Sentinel.
В Sentinel.py: на контроллере домена добавлена установка Sysmon и отправка всех журналов Sysmon/Security в LAW/Sentinel.
В Sentinel.py: на контроллере домена удален CSE и оптимизирована установка леса AD через powershell.
В Sentinel.py: во всех Windows: добавлен сервер Powershell Core и OpenSSH, удаленные сеансы Powershell через SSH.
На Sentinel.py: удалены правила эластичного обнаружения и симулятор APT.
На Sentinel.py, ad.py: обновлена установка ART до последней версии для упрощения Invoke-Atomics.
На Sentinel.py, ad.py: исправлена ошибка установки правил эластичного обнаружения.
В Maned_identity.py изменен размер виртуальной машины по умолчанию на A1v2 чтобы обеспечить более низкую стоимость.
В aadjoin.py изменен пароль Azure AD по умолчанию, удалив специальные символы.
Добавлен новый генератор Terraform: adfs.py. При этом создается лаборатория ADFS федерации с контроллером домена.
Добавлен новый генератор Terraform: aadjoin.py. При этом создается лаборатория присоединения к Azure AD с управляемыми устройствами Windows 10.
Перемещает все генераторы в отдельные подкаталоги для более четкого разделения ресурсов и состояния терраформирования, простоты использования.
Удалить каталог архива для старых шаблонов
Удаляет AAD Connect MSI на рабочем столе сервера ADFS.
Добавляет PurpleSharp для постоянной загрузки в Windows 10 Pro: ad.py, Sentinel.py.
Обновлены сценарии начальной загрузки, позволяющие всегда расширять архив: ad.py, Sentinel.py.
Исправлена одна проблема с новым именем каталога для Windows 10.
Изменен файл Managed_identity.py для использования нового автоматического белого списка с использованием http-ресурса данных ifconfig.me.
Настраиваемый MSI-файл Azure AD Connect включен в папку files/dc .
Обновляет AAD Connect MSI до версии 2.x.
Автоматическая загрузка/выгрузка на рабочий стол локального администратора DC.
Импортируйте свой собственный файл CSV с помощью --csv file.csv . Должен соответствовать определенному формату, описанному в разделе « How AD Builds on the DC .
Поддерживается как генераторами кода AD DS sentinel.py , так и ad.py
Удалены зависимости local-exec и ansible. Все управление постконфигурацией осуществляется с помощью пользовательских данных и bash/powershell.
Изменены все файлы в диапазоне (winlogbeat, sysmon, sysmon-config), чтобы они были автономными и настраиваемыми для загрузки в/из контейнера хранилища.
Обновлен Sysmon до версии 14 и последняя версия SwiftOnSecurity Sysmon-Config.
Обновлен Велоцираптор до версии 6.5.2.
Создайте лабораторию Azure Sentinel с дополнительной поддержкой доставки журналов Sysmon и безопасности Windows 10 в рабочую область Sentinel Log Analytics. При необходимости создайте Active Directory с присоединением к домену.
Вы можете быстро развернуть мультитенантное приложение Azure Ad, которое будет использоваться для моделирования фишинга согласия приложений. Он автоматически создает типичные разрешения согласия API, такие как чтение электронной почты и файлов, но его можно настроить для любых требуемых поддерживаемых разрешений.
Создайте три новые лаборатории безопасности для разных вариантов использования. Вы можете быстро развернуть лабораторию безопасности Azure Sentinel, учетную запись хранения Azure с общими файловыми ресурсами, контейнерами, большими двоичными объектами и примерами файлов. Сюда также входит Azure Key Vault с ресурсами. Или создайте лабораторию безопасности управляемых удостоверений Azure для наступательных операций и сетевых защитников. Более подробную информацию смотрите в полной документации.
Добавлена поддержка динамического добавления некоторых примитивов атак на злоупотребление субъектом-службой. Сюда входит динамическое добавление администратора приложения к случайному пользователю Azure AD ( -aa ), администратора привилегированной роли к случайному SP приложения ( -pra ), а также целевой роли глобального администратора к случайному SP приложения ( -ga ). Дополнительные сведения см. в примерах использования azure_ad.py ниже. Мы также добавили сценарии атаки для сценария злоупотребления субъектом-службой в каталоге attack_scripts .
PurpleCloud изменился! Представляем генератор Terraform с использованием Python. Вместо предложения шаблонов терраформирования, которые необходимо редактировать вручную, отправной точкой является генератор терраформов Python. Скрипты Python создадут ваши собственные файлы терраформирования на основе пользовательского ввода. Файлы шаблонов terraform перемещены в архив.
