SIEM – Red-Orbita

Cyberdefenders – Elastic-Case

29 junio, 202229 junio, 2022 rokitoh Deja un comentario

Scenario:

An attacker was able to trick an employee into downloading a suspicious file and running it. The attacker compromised the system, along with that, The Security Team did not update most systems. The attacker was able to pivot to another system and compromise the company. As a SOC analyst, you are assigned to investigate the incident using Elastic as a SIEM tool and help the team to kick out the attacker.

Resources:

https://www.elastic.co/
Threat Hunting with Elastic Stack by Andrew Pease (Book)
https://www.youtube.com/playlist?list=PLeLcvrwLe184BoWZhv6Cf2kbi-bKBeDBI
https://www.youtube.com/c/OfficialElasticCommunity
https://www.elastic.co/blog/

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 8 (ATT&CK T1037.001, T1039, T1041, T1046)

23 junio, 202223 junio, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3, Ver parte 4, Ver parte 5, Ver parte 6, Ver parte 7

Integrar alertas wazuh con Thehive – rootcheck

22 junio, 202222 junio, 2022 rokitoh Deja un comentario

Seguimos configurando nuestra infraestructura SIRP (https://red-orbita.com/?p=8726),En esta entrada veremos como integrar las alertas generadas por rootcheck en wazuh con thehive

Para ello nos vamos al servidor donde tenemos implementado elasalert y creamos las siguientes reglas:

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 7 (ATT&CK T1033, T1036)

16 junio, 202216 junio, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3, Ver parte 4, Ver parte 5, Ver parte 6

Comenzamos con la sección T1033 la cual ejecutará las siguientes tecnicas:

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 6 (ATT&CK T1027)

9 junio, 20229 junio, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3, Ver parte 4, Ver parte 5

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 5 (ATT&CK T1021)

7 junio, 20227 junio, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3, Ver parte 4

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 4 (ATT&CK T1018, T1020)

6 mayo, 20226 mayo, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 3 (ATT&CK T1016)

5 mayo, 20225 mayo, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 2 (ATT&CK T1006, T1007, T1010, T1012)

4 mayo, 20224 mayo, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 1 (ATT&CK T1003)

3 mayo, 20223 mayo, 2022 rokitoh Deja un comentario

La emulación de ataques juega un papel importante en la identificación de las Técnicas, Tácticas y Procedimientos (TTP) que utilizan los adversarios. Proyectos como Atomic Red Team (ART) pueden ayudar a automatizar la emulación.

El marco MITRE ATT&CK®, que significa MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK), es una base de conocimiento para modelar el comportamiento de un adversario cibernético.

¿Que es Atomic Red Team?

Atomic Red Team es una biblioteca de pruebas simples que todo equipo de seguridad puede ejecutar para probar sus defensas. Las pruebas están enfocadas, tienen pocas dependencias y se definen en un formato estructurado que pueden usar los marcos de automatización.

En esta primera entrada vamos a testear las reglas en Azure Sentinel relacionadas con OS Credential Dumping (T1003)