เพอร์เพิลคลาวด์

เอกสารประกอบ

ตัวสร้างโค้ด Terraform เพื่อสร้างแล็บความปลอดภัย Azure ต่างๆ

สำหรับการเยี่ยมชมเอกสารฉบับเต็ม: https://www.purplecloud.network

บันทึกการเปลี่ยนแปลง

10/18/24: อัปเดต Azure Sentinel Generator (อัปเดตหมวดหมู่บันทึกการตั้งค่า AADDiagnostic)

• บน sentinel.py: เพิ่มหมวดหมู่เพิ่มเติมสำหรับการบันทึกและส่งไปยัง LAW รวมถึง: NonInteractiveUserSignInLogs, ServicePrincipalSignInLogs, ManagedIdentitySignInLogs

16/10/24: อัปเดตตัวสร้าง Azure Sentinel (อัปเดตบทบาทข้อมูลประจำตัวที่มีการจัดการ)

• บน sentinel.py: เพิ่มเส้นทางการโจมตี Managed Identity VM เพิ่มเติมในแต่ละระบบ Windows 10 เพิ่มสำหรับบทบาทของเจ้าของ, ผู้สนับสนุนเครื่องเสมือน, เครื่องอ่าน Key Vault บนผู้ใช้ที่ได้รับมอบหมาย บน SystemAssigned เพิ่มบทบาทของ Contributor, Virtual Machine Contributor, Key Vault Reader

20/08/24: อัปเดต Azure Sentinel Generator (อัปเดตทางวิศวกรรมการตรวจจับ: รับบันทึกปลายทางและ Entra ในกฎหมายเดียวกัน)

• บน sentinel.py: อัปเดตการติดตั้งอัตโนมัติ Azure Monitor Agent (AMA) ใหม่บน dc และจุดสิ้นสุด windows ทั้งหมด! จากนี้ไป ตำแหน่งข้อมูล Windows ทั้งหมดจะส่งบันทึกไปยัง Log Analytics Workspace / Sentinel โดยอัตโนมัติ อัปเดตตัวกรองกฎการตรวจจับสำหรับบันทึกเหตุการณ์ Sysmon และ Windows / Security

• บน sentinel.py: เพิ่มเส้นทางการโจมตี Managed Identity VM

• บน sentinel.py: เพิ่มการตั้งค่าการวินิจฉัยการปรับใช้ Terraform อัตโนมัติเพื่อส่งบันทึก Entra ID ไปยัง Log Analytics Workspace / Sentinel

• บน sentinel.py: บน Domain Controller เพิ่ม Sysmon ติดตั้งและส่งบันทึก Sysmon/Security ทั้งหมดไปยัง LAW/Sentinel

• บน sentinel.py: บน Domain Controller ได้ลบ CSE ออกและปรับปรุงการติดตั้ง AD Forest ผ่าน PowerShell

• บน sentinel.py: บน Windows ทั้งหมด: เพิ่มเซิร์ฟเวอร์ Powershell Core และ OpenSSH, Powershell ระยะไกลผ่านเซสชัน SSH

• บน sentinel.py: ลบกฎการตรวจจับแบบยืดหยุ่นและ APT Simulator ออก

18/2/24: อัปเดตการติดตั้ง Atomic Red Team (ART)

• บน sentinel.py, ad.py: อัปเดตการติดตั้ง ART เป็นวิธีการล่าสุดเพื่อการ Invive-Atomics อย่างง่ายดาย

• บน sentinel.py, ad.py: แก้ไขข้อผิดพลาดในการติดตั้งสำหรับกฎการตรวจจับแบบยืดหยุ่น

18/11/22: อัปเดต Managed_identity.py และ aadjoin.py

• บน Managed_identity.py ให้เปลี่ยนขนาด VM เริ่มต้นเป็น A1v2 เพื่อให้ต้นทุนดีขึ้น

• บน aadjoin.py เปลี่ยนรหัสผ่าน Azure AD เริ่มต้นเพื่อลบอักขระพิเศษ

3/11/22: เพิ่มเครื่องกำเนิด Terraform ใหม่: ADFS & AADJoin

• เพิ่ม Terraform Generator ใหม่: adfs.py สิ่งนี้จะสร้างห้องปฏิบัติการ ADFS ของสหพันธรัฐด้วย DC

• เพิ่ม Terraform Generator ใหม่: aadjoin.py สิ่งนี้จะสร้างห้องปฏิบัติการ Azure AD Join ด้วยอุปกรณ์ที่ได้รับการจัดการ Windows 10

• ย้ายตัวสร้างทั้งหมดไปยังไดเร็กทอรีย่อยแยกกันเพื่อการแยกทรัพยากรและสถานะพื้นผิวที่สะอาดยิ่งขึ้น ใช้งานง่าย

• ลบไดเร็กทอรีเก็บถาวรสำหรับเทมเพลตเก่า

• วาง AAD เชื่อมต่อ msi บนเดสก์ท็อปของเซิร์ฟเวอร์ ADFS

• เพิ่ม PurpleSharp เพื่อดาวน์โหลดบน Windows 10 Pro เสมอ: ad.py, sentinel.py

• อัปเดตสคริปต์บูตสแตรปเพื่อขยายที่เก็บถาวรเสมอ: ad.py, sentinel.py

8/9/22: อัปเดตตัวสร้างข้อมูลประจำตัวที่มีการจัดการสำหรับรายการสีขาวอัตโนมัติของ IP ต้นทาง

• แก้ไขปัญหาหนึ่งเกี่ยวกับชื่อไดเรกทอรีใหม่สำหรับ Windows 10

• เปลี่ยน Managed_identity.py เพื่อใช้รายการสีขาวอัตโนมัติใหม่โดยใช้ทรัพยากรข้อมูล http ของ ifconfig.me

6/9/22: อัปเดต Azure AD Connect บน Domain Controller

• Azure AD Connect msi ที่ปรับแต่งได้รวมอยู่ในโฟลเดอร์ files/dc

• อัปเดต AAD Connect MSI เป็นเวอร์ชัน 2.x

• อัปโหลด/ดาวน์โหลดอัตโนมัติไปยังเดสก์ท็อปผู้ดูแลระบบภายในของ DC

22/9/2563: เพิ่มการรองรับไฟล์ CSV ที่กำหนดเองสำหรับการโหลดผู้ใช้ AD กลุ่ม และ OU ของคุณลงใน AD DS

• นำเข้าไฟล์ CSV ของคุณเองด้วย --csv file.csv ต้องสอดคล้องกับรูปแบบเฉพาะที่อธิบายไว้ใน How AD Builds on the DC

• รองรับทั้งตัวสร้างโค้ด sentinel.py และ ad.py AD DS

1/9/22: ลบ local-exec และ ansible! ไฟล์ที่ปรับแต่งได้! อัปเกรด Sysmon และ Velociraptor

• ลบการพึ่งพา local-exec และ ansible ออก การจัดการการกำหนดค่าหลังทั้งหมดเสร็จสิ้นด้วยข้อมูลผู้ใช้และ bash/powershell

• เปลี่ยนไฟล์ทั้งหมดในช่วง (winlogbeat, sysmon, sysmon-config) ให้มีอยู่ในตัวเองและปรับแต่งได้สำหรับการอัปโหลดไปยัง/จากคอนเทนเนอร์ที่เก็บข้อมูล

• อัปเกรด Sysmon เป็น v14 และ SwiftOnSecurity Sysmon-Config ล่าสุด

• อัปเกรด Velociraptor เป็นเวอร์ชัน 6.5.2

22/08/20: อัปเดต Sentinel Lab สำหรับ Active Directory Build + จัดส่ง Sysmon และบันทึกความปลอดภัยไปยัง Sentinel!

สร้างห้องปฏิบัติการ Azure Sentinel พร้อมการสนับสนุนเพิ่มเติมสำหรับการจัดส่งบันทึก Windows 10 Sysmon และความปลอดภัยไปยัง Sentinel Log Analytics Workspace ทางเลือกสร้าง Active Directory ด้วยการเข้าร่วมโดเมน

22/08/20: เพิ่ม Terraform Generator ใหม่: แอปพลิเคชันฟิชชิ่ง

คุณสามารถเปิดใช้งานแอปพลิเคชัน Azure Ad ที่มีผู้เช่าหลายรายได้อย่างรวดเร็วเพื่อใช้สำหรับการจำลองฟิชชิ่งแบบยินยอมของแอป โดยจะสร้างสิทธิ์การยินยอม API ทั่วไปโดยอัตโนมัติ เช่น การอ่านอีเมลและไฟล์ แต่สามารถปรับแต่งให้รองรับสิทธิ์ที่คุณต้องการได้

18/7/22: เพิ่มเครื่องกำเนิด Terraform ใหม่สามตัว: Azure Sentinel, Azure Storage, Azure Managed Identity

สร้างแล็บความปลอดภัยใหม่ 3 ห้องสำหรับกรณีการใช้งานที่แตกต่างกัน คุณสามารถสร้างห้องปฏิบัติการรักษาความปลอดภัย Azure Sentinel ซึ่งเป็นบัญชีพื้นที่เก็บข้อมูล Azure ที่มีการแชร์ไฟล์ คอนเทนเนอร์ blobs และไฟล์ตัวอย่างได้อย่างรวดเร็ว นอกจากนี้ยังรวมถึง Azure Key Vault พร้อมทรัพยากรอีกด้วย หรือสร้างห้องปฏิบัติการรักษาความปลอดภัยข้อมูลระบุตัวตนที่ได้รับการจัดการของ Azure สำหรับการปฏิบัติการเชิงรุกและผู้ปกป้องเครือข่าย ดูเอกสารฉบับเต็มสำหรับรายละเอียดเพิ่มเติม

13/5/22: เพิ่มการสนับสนุนการโจมตีการละเมิดหลักบริการแบบดั้งเดิม

เพิ่มการสนับสนุนเพื่อเพิ่มการโจมตีแบบละเมิดของ Service Principal แบบไดนามิก ซึ่งรวมถึงการเพิ่มผู้ดูแลระบบแอปพลิเคชันแบบไดนามิกให้กับผู้ใช้ Azure AD แบบสุ่ม ( -aa ) ผู้ดูแลระบบที่มีสิทธิ์พิเศษใน SP แอปพลิเคชันแบบสุ่ม ( -pra ) รวมถึงเป้าหมายบทบาทผู้ดูแลระบบส่วนกลางไปยัง SP แอปพลิเคชันแบบสุ่ม ( -ga ) ดูตัวอย่างการใช้งาน azure_ad.py ด้านล่างสำหรับข้อมูลเพิ่มเติม นอกจากนี้เรายังเพิ่มสคริปต์การโจมตีสำหรับสถานการณ์การละเมิดหลักของบริการในไดเรกทอรี attack_scripts

14/2/22: การอัปเดตวันวาเลนไทน์: เครื่องสร้าง Terraform Python

PurpleCloud เปลี่ยนไปแล้ว! ขอแนะนำเครื่องกำเนิด Terraform โดยใช้ Python แทนที่จะเสนอเทมเพลต Terraform ที่ต้องแก้ไขด้วยตนเอง จุดเริ่มต้นคือตัวสร้าง Terraform Python สคริปต์หลามจะสร้างไฟล์ Terraform ที่คุณกำหนดเองตามอินพุตของผู้ใช้ ไฟล์เทมเพลต Terraform ถูกย้ายไปยังไฟล์เก็บถาวร