Azure Sentinel – Red-Orbita

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 4 (ATT&CK T1018, T1020)

6 mayo, 20226 mayo, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 3 (ATT&CK T1016)

5 mayo, 20225 mayo, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 2 (ATT&CK T1006, T1007, T1010, T1012)

4 mayo, 20224 mayo, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 1 (ATT&CK T1003)

3 mayo, 20223 mayo, 2022 rokitoh Deja un comentario

La emulación de ataques juega un papel importante en la identificación de las Técnicas, Tácticas y Procedimientos (TTP) que utilizan los adversarios. Proyectos como Atomic Red Team (ART) pueden ayudar a automatizar la emulación.

El marco MITRE ATT&CK®, que significa MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK), es una base de conocimiento para modelar el comportamiento de un adversario cibernético.

¿Que es Atomic Red Team?

Atomic Red Team es una biblioteca de pruebas simples que todo equipo de seguridad puede ejecutar para probar sus defensas. Las pruebas están enfocadas, tienen pocas dependencias y se definen en un formato estructurado que pueden usar los marcos de automatización.

En esta primera entrada vamos a testear las reglas en Azure Sentinel relacionadas con OS Credential Dumping (T1003)

Instalar y configurar Sysmon en GNU/Linux

29 abril, 202229 abril, 2022 rokitoh Deja un comentario

Descargamos el paquete el cual nos instalará la key GPG del repositorio de Microsoft

wget -q https://packages.microsoft.com/config/ubuntu/$(lsb_release -rs)/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb

Instalamos el software

sudo apt-get update
sudo apt-get install sysinternalsebpf
sudo apt-get install sysmonforlinux

Parsear powershell en Azure Sentinel

24 marzo, 202224 marzo, 2022 rokitoh Deja un comentario

Hace tiempo que no subo nada de Azure sentinel, en esta ocasión veremos como parsear los logs de Powershell en Azure Sentinel

En primer lugar agregamos Azure Sentinel > Settings > Workspace Settings > y dentro de la sección de Settings presionamos sobre Agents configuration

Dentro de ahí damos a: Add windows event logs y seleccionamos Microsoft-Windows-PowerShell

Azure Sentinel – Detectar SQL Injection

17 marzo, 202217 marzo, 2022 rokitoh Deja un comentario

What is Azure Web Application Firewall on Azure Application Gateway? - Azure Web Application Firewall | Microsoft Docs

Azure Web Application Firewall es un servicio nativo de nube que protege las aplicaciones web frente a técnicas comunes de pirateo web, como la inyección de código SQL, y vulnerabilidades de seguridad, como los scripts entre sitios. Implemente el servicio en cuestión de minutos para obtener una visibilidad completa de su entorno y bloquear los ataques malintencionados.

El monitoreo de Azure WAF se puede realizar a través de:

Azure Monitor
Azure Security Center (predeterminado)
Azure Sentinel ( Azure WAF Data Connector requiere la configuración de diagnóstico de Application Gateway para enviar los datos a Azure Sentinel Log Analytics )

Creación de reglas en Azure Sentinel para Fortigate

19 octubre, 202019 octubre, 2020 rokitoh Deja un comentario

En la anterior entrada vimos como parsear los logs que nos llegan desde Fortigate.

En esta ocasión veremos como crear reglas en Azure Sentinel para que cuando detecte o bloque algún ataque nos genere una alerta.

Para ello vamos a utilizar las siguientes querys:


Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "high" and act == "detected" or act == "reset")

Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "detected" or act == "reset")


Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "High" and act == "dropped" or act == "blocked")

Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "dropped" or act == "blocked")

Para que no se alargue excesivamente la entrada únicamente mostraré como se hace una regla. Pero debéis realizar una regla por cada query que os mostré en el punto anterior.

Parsear logs de Fortigate en Azure Sentinel

12 octubre, 202012 octubre, 2020 rokitoh Deja un comentario

En la siguiente entrada seguimos viendo como montar nuestro entorno de Azure Sentinel desde cero.

En esta ocasión veremos como parsear los eventos que nos llegan desde Foritgate.

Si observamos como nos llega los eventos de parsear nos damos cuenta que realmente los eventos importantes se almacenan dentro de las dos columnas «SyslogMessage»

Parsear sysmon en Azure Sentinel

8 octubre, 20208 octubre, 2020 rokitoh Deja un comentario

Anteriormente ya vimos como conectar diferentes recursos para obtener información de diferentes dispositivos, en este caso vamos a parsear los eventos que nos llega de Sysmon

Si observamos como nos llega los eventos de Sysmon nos damos cuenta que realmente los eventos importantes se almacenan dentro de las dos columnas «ParameterXml» y «EventData»: