紫雲

文件

Terraform 程式碼產生器用於建立不同的 Azure 安全實驗室。

如需完整文檔，請造訪：https://www.purplecloud.network

變更日誌

24 年 10 月 18 日：更新了 Azure Sentinel 產生器（更新了 AADDiagnostic 設定日誌類別）

• 在 Sentinel.py 上：新增了更多用於記錄和傳送到 LAW 的類別，包括：NonInteractiveUserSignInLogs、ServicePrincipalSignInLogs、ManagedIdentitySignInLogs。

24 年 10 月 16 日：更新了 Azure Sentinel 產生器（更新了託管身分角色）

• 在 Sentinel.py 上：在每個 Windows 10 系統上新增了更多託管身分虛擬機器攻擊路徑。 新增了使用者指派的擁有者、虛擬機器貢獻者、Key Vault 讀取者角色。 在 SystemAssigned 上，新增了貢獻者、虛擬機器貢獻者、Key Vault Reader 角色。

24 年 8 月 20 日：更新了 Azure Sentinel 產生器（偵測工程更新：在同一 LAW 中取得端點和 Entra 日誌）

• 在 Sentinel.py 上：更新了 DC 和所有 Windows 端點上的新 Azure Monitor Agent (AMA) 自動安裝！ 從現在開始，所有 Windows 終端點都會自動將日誌傳送到 Log Analytics 工作區/Sentinel。 更新了 Sysmon 和 Windows/安全事件日誌的偵測規則過濾器。

• 在 Sentinel.py 上：新增了託管身分虛擬機器攻擊路徑。

• 在 Sentinel.py 上：新增了診斷設定自動 terraform 部署，以將 Entra ID 日誌傳送至 Log Analytics 工作區/Sentinel

• 在 Sentinel.py 上：在網域控制站上，新增了 Sysmon 安裝並將所有 Sysmon/安全日誌傳送到 LAW/Sentinel

• 在 Sentinel.py 上：在網域控制站上，刪除了 CSE 並透過 powershell 簡化了 AD 林安裝

• 在 Sentinel.py 上：在所有 Windows 上：新增了 Powershell Core 和 OpenSSH 伺服器、透過 SSH 會話的遠端 Powershell

• 在sentinel.py上：刪除了Elastic偵測規則和APT模擬器

24/2/18：更新了 Atomic Red Team (ART) 安裝

• 在 Sentinel.py、ad.py 上：將 ART 安裝更新為最新方法，以便於呼叫原子

• 在sentinel.py、ad.py上：修正了彈性偵測規則的安裝錯誤

22 年 11 月 18 日：更新了 Managed_identity.py 和 aadjoin.py

• 在 Managed_identity.py 上，將預設 VM 大小變更為A1v2以提供更好的成本。

• 在 aadjoin.py 上，變更了預設的 Azure AD 密碼以刪除特殊字元。

22 年 11 月 3 日：新增了新的地形產生器：ADFS 和 AADJoin

• 新增了新的 Terraform 產生器：adfs.py。 這將建造一個帶有 DC 的聯合 ADFS 實驗室。

• 新增了新的 Terraform 產生器：aadjoin.py。 這將使用 Windows 10 託管裝置建置 Azure AD 加入實驗室。

• 將所有生成器移動到單獨的子目錄中，以便更清晰地分離地形資源和狀態，易於使用

• 刪除舊模板的存檔目錄

• 在 ADFS 伺服器的桌面上刪除 AAD 連線 msi

• 新增 PurpleSharp 以始終在 Windows 10 Pro 上下載：ad.py、sentinel.py

• 更新了引導腳本以始終展開存檔：ad.py、sentinel.py

22 年 9 月 8 日：更新了託管身分產生器，用於自動將來源 IP 列入白名單。

• 修復了 Windows 10 新目錄名稱的一個問題

• 將 Managed_identity.py 更改為使用 ifconfig.me 的 http 資料資源使用新的自動白名單

22 年 9 月 6 日：更新了網域控制站上的 Azure AD Connect。

• 可自訂的 Azure AD Connect msi 包含在files/dc資料夾中。

• 將 AAD Connect MSI 更新至版本 2.x

• 自動上傳/下載到DC本機管理員桌面

22 年 9 月 2 日：新增了對自訂 CSV 檔案的支持，用於將您自己的 AD 使用者、群組和 OU 載入到 AD DS 中。

• 使用--csv file.csv匯入您自己的 CSV 檔案。 必須符合How AD Builds on the DC部分中所述的特定格式

• sentinel.py和ad.py AD DS 程式碼產生器皆支援。

22 年 9 月 1 日：刪除了 local-exec 和 ansible！可定製文件！ 升級了 Sysmon 和 Velociraptor。

• 刪除了 local-exec 和 ansible 依賴項。 所有後期配置管理都是透過使用者資料和 bash/powershell 完成的。

• 將範圍內的所有檔案（winlogbeat、sysmon、sysmon-config）變更為獨立且可自訂，以便上傳到儲存容器或從儲存容器上傳。

• 將 Sysmon 升級到 v14 和最新的 SwiftOnSecurity Sysmon-Config

• Velociraptor 升級至 v6.5.2

22 年 8 月 4 日：更新了用於 Active Directory 建置的 Sentinel 實驗室 + 將 Sysmon 和安全日誌傳送到 Sentinel！

建置 Azure Sentinel 實驗室，並提供可選支持，用於將 Windows 10 Sysmon 和安全日誌傳送到 Sentinel Log Analytics 工作區。 可以選擇透過網域加入建置 Active Directory。

22 年 8 月 2 日：新增了新的 Terraform 產生器：網路釣魚應用程式

你可以快速啟動多租戶 Azure Ad 應用程序，用於應用程式同意網路釣魚模擬。 它會自動建立典型的 API 同意權限，例如閱讀電子郵件和文件，但可以針對您需要的任何支援的權限進行自訂。

22 年 7 月 18 日：新增了三個新的 Terraform 產生器：Azure Sentinel、Azure 儲存、Azure 託管身份

為不同的用例建立三個新的安全實驗室。 您可以快速啟動 Azure Sentinel 安全實驗室，這是一個包含檔案共用、容器、blob 和範例檔案的 Azure 儲存體帳戶。 這也包括帶有資源的 Azure Key Vault。 或為進攻行動和網路防禦者建立 Azure 託管身分安全實驗室。 有關更多詳細信息，請參閱完整文件。

22 年 5 月 13 日：新增了服務主體濫用攻擊原語可選支持

增加了對動態添加一些服務主體濫用攻擊原語的支援。 這包括動態地將應用程式管理員新增至隨機 Azure AD 使用者 ( -aa )、將特權角色管理員新增至隨機應用程式 SP ( -pra )，以及將全域管理員角色目標新增至隨機應用程式 SP ( -ga )。 有關詳細信息，請參閱下面的azure_ad.py用法範例。 我們也在attack_scripts目錄中加入了針對服務主體濫用場景的攻擊腳本。

22/14/22：情人節更新：Python terraform 產生器

紫雲變了！ 介紹使用 python 的 Terraform 產生器。 起點是 Python terraform 產生器，而不是提供必須手動編輯的 terraform 範本。 python 腳本將根據使用者輸入建立您自己的自訂 terraform 檔案。 terraform 範本檔案已移至存檔。