紫云

文档

Terraform 代码生成器用于创建不同的 Azure 安全实验室。

如需完整文档，请访问：https://www.purplecloud.network

变更日志

24 年 10 月 18 日：更新了 Azure Sentinel 生成器（更新了 AADDiagnostic 设置日志类别）

• 在 Sentinel.py 上：添加了更多用于记录和发送到 LAW 的类别，包括：NonInteractiveUserSignInLogs、ServicePrincipalSignInLogs、ManagedIdentitySignInLogs。

24 年 10 月 16 日：更新了 Azure Sentinel 生成器（更新了托管身份角色）

• 在 Sentinel.py 上：在每个 Windows 10 系统上添加了更多托管身份虚拟机攻击路径。 添加了用户分配的所有者、虚拟机贡献者、Key Vault 读取者角色。 在 SystemAssigned 上，添加了贡献者、虚拟机贡献者、Key Vault Reader 角色。

24 年 8 月 20 日：更新了 Azure Sentinel 生成器（检测工程更新：在同一 LAW 中获取端点和 Entra 日志）

• 在 Sentinel.py 上：更新了 DC 和所有 Windows 端点上的新 Azure Monitor Agent (AMA) 自动安装！ 从现在开始，所有 Windows 终结点都会自动将日志发送到 Log Analytics 工作区/Sentinel。 更新了 Sysmon 和 Windows/安全事件日志的检测规则过滤器。

• 在 Sentinel.py 上：添加了托管身份虚拟机攻击路径。

• 在 Sentinel.py 上：添加了诊断设置自动 terraform 部署，以将 Entra ID 日志发送到 Log Analytics 工作区/Sentinel

• 在 Sentinel.py 上：在域控制器上，添加了 Sysmon 安装并将所有 Sysmon/安全日志发送到 LAW/Sentinel

• 在 Sentinel.py 上：在域控制器上，删除了 CSE 并通过 powershell 简化了 AD 林安装

• 在 Sentinel.py 上：在所有 Windows 上：添加了 Powershell Core 和 OpenSSH 服务器、通过 SSH 会话的远程 Powershell

• 在sentinel.py上：删除了Elastic检测规则和APT模拟器

24/2/18：更新了 Atomic Red Team (ART) 安装

• 在 Sentinel.py、ad.py 上：将 ART 安装更新为最新方法，以便于调用原子

• 在sentinel.py、ad.py上：修复了弹性检测规则的安装错误

22 年 11 月 18 日：更新了 Managed_identity.py 和 aadjoin.py

• 在 Managed_identity.py 上，将默认 VM 大小更改为A1v2以提供更好的成本。

• 在 aadjoin.py 上，更改了默认的 Azure AD 密码以删除特殊字符。

22 年 11 月 3 日：添加了新的地形生成器：ADFS 和 AADJoin

• 添加了新的 Terraform 生成器：adfs.py。 这将构建一个带有 DC 的联合 ADFS 实验室。

• 添加了新的 Terraform 生成器：aadjoin.py。 这将使用 Windows 10 托管设备构建 Azure AD 加入实验室。

• 将所有生成器移动到单独的子目录中，以便更清晰地分离地形资源和状态，易于使用

• 删除旧模板的存档目录

• 在 ADFS 服务器的桌面上删除 AAD 连接 msi

• 添加 PurpleSharp 以始终在 Windows 10 Pro 上下载：ad.py、sentinel.py

• 更新了引导脚本以始终展开存档：ad.py、sentinel.py

22 年 9 月 8 日：更新了托管身份生成器，用于自动将源 IP 列入白名单。

• 修复了 Windows 10 新目录名称的一个问题

• 将 Managed_identity.py 更改为使用 ifconfig.me 的 http 数据资源使用新的自动白名单

22 年 9 月 6 日：更新了域控制器上的 Azure AD Connect。

• 可自定义的 Azure AD Connect msi 包含在files/dc文件夹中。

• 将 AAD Connect MSI 更新到版本 2.x

• 自动上传/下载到DC本地管理员桌面

22 年 9 月 2 日：添加了对自定义 CSV 文件的支持，用于将您自己的 AD 用户、组和 OU 加载到 AD DS 中。

• 使用--csv file.csv导入您自己的 CSV 文件。 必须符合How AD Builds on the DC部分中描述的特定格式

• sentinel.py和ad.py AD DS 代码生成器均受支持。

22 年 9 月 1 日：删除了 local-exec 和 ansible！可定制文件！ 升级了 Sysmon 和 Velociraptor。

• 删除了 local-exec 和 ansible 依赖项。 所有后期配置管理都是通过用户数据和 bash/powershell 完成的。

• 将范围内的所有文件（winlogbeat、sysmon、sysmon-config）更改为独立且可自定义，以便上传到存储容器或从存储容器上传。

• 将 Sysmon 升级到 v14 和最新的 SwiftOnSecurity Sysmon-Config

• Velociraptor 升级至 v6.5.2

22 年 8 月 4 日：更新了用于 Active Directory 构建的 Sentinel 实验室 + 将 Sysmon 和安全日志发送到 Sentinel！

构建 Azure Sentinel 实验室，并提供可选支持，用于将 Windows 10 Sysmon 和安全日志传送到 Sentinel Log Analytics 工作区。 可以选择通过域加入构建 Active Directory。

22 年 8 月 2 日：添加了新的 Terraform 生成器：网络钓鱼应用程序

你可以快速启动多租户 Azure Ad 应用程序，用于应用程序同意网络钓鱼模拟。 它会自动构建典型的 API 同意权限，例如阅读电子邮件和文件，但可以针对您需要的任何支持的权限进行自定义。

22 年 7 月 18 日：添加了三个新的 Terraform 生成器：Azure Sentinel、Azure 存储、Azure 托管身份

为不同的用例创建三个新的安全实验室。 您可以快速启动 Azure Sentinel 安全实验室，这是一个包含文件共享、容器、blob 和示例文件的 Azure 存储帐户。 这还包括带有资源的 Azure Key Vault。 或者为进攻性行动和网络防御者创建 Azure 托管身份安全实验室。 有关更多详细信息，请参阅完整文档。

22 年 5 月 13 日：添加了服务主体滥用攻击原语可选支持

添加了对动态添加一些服务主体滥用攻击原语的支持。 这包括动态地将应用程序管理员添加到随机 Azure AD 用户 ( -aa )、将特权角色管理员添加到随机应用程序 SP ( -pra )，以及将全局管理员角色目标添加到随机应用程序 SP ( -ga )。 有关详细信息，请参阅下面的azure_ad.py用法示例。 我们还在attack_scripts目录中添加了针对服务主体滥用场景的攻击脚本。

22/14/22：情人节更新：Python terraform 生成器

紫云变了！ 介绍使用 python 的 Terraform 生成器。 起点是 Python terraform 生成器，而不是提供必须手动编辑的 terraform 模板。 python 脚本将根据用户输入创建您自己的自定义 terraform 文件。 terraform 模板文件已移至存档。