Detectar ataque Fuerza bruta RDP en Azure Sentinel

En el Post anterior vimos como instalar y configurar Azure Sentinel en esta entrada veremos como crear una alerta para detectar posibles ataques de fuerza bruta.

Para configurar nuestra regla tenemos que ir a: Azure Sentinel > seleccionamos nuestro workspace > Analytics > Create > Scheduled query rule

Configuramos el nombre, una breve descripción de la regla, la categorización y por ultimo el nivel de severidad que en mi caso le voy a poner como medio

Configuramos la siguiente query

SecurityEvent
| where EventID == 4625
| project TimeGenerated, WorkstationName,Computer, Account , LogonTypeName , IpAddress
| order by TimeGenerated desc
| extend HostCustomEntity = Computer
| extend IPCustomEntity = IpAddress
| extend AccountCustomEntity = Account

En la siguiente pantalla podemos configurar como agrupar las alertas

El penúltimo punto con el cual nos encontramos el Active Response, el cual nos permite agregar un paybook.  De momento no vamos a realizar esta configuración.

Por ultimo, creamos la regla.

Chequear el funcionamiento

Mediante hydra u otro software realizamos un ataque de fuerza bruta contra un de los servidores

hydra -V -f -l Administrator -P /home/rokitoh/rockyou.txt rdp://192.168.1.88

Comprobamos que detecta un ataque por fuerza bruta

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*