Red-Orbita – Página 13 – Blog Red-Orbita

Conectar datos de Fortinet a Azure Sentinel

24 septiembre, 202024 septiembre, 2020 rokitoh Deja un comentario

En anteriores entradas ya vimos como Configurar un reenviador de Syslog en Azure Sentinel en esta ocasión utilizaremos ese reenviador para conectar Fortinet con el Workspace.

En primer lugar, debemos configurar Fortinet para reenviar mensajes de Syslog en formato CEF (Por defecto ya lo envía en formato CEF) a nuestra área de trabajo de Azure a través del agente de Syslog (El reenviador configurado anteriormente).

Configurar reenviador de Syslog en Azure Sentinel

23 septiembre, 202023 septiembre, 2020 rokitoh Deja un comentario

En esta entrada veremos como configurar un reenviador de Syslog para poder integrar diferentes componentes como Firewall a nuestro Azure Sentinel.

Para empezar debemos instalar OMS Agent en un servidor GNU/Linux

Los sistemas operativos soportados son los siguientes:

CentOS 6 and 7
Amazon Linux 2017.09
Oracle Linux 6 and 7
Red Hat Enterprise Linux Server 6, 7, and 8
Debian GNU/Linux 8 and 9
Ubuntu Linux 14.04 LTS, 16.04 LTS and 18.04 LTS
SUSE Linux Enterprise Server 12 and 15

Detectar ataque Fuerza bruta RDP en Azure Sentinel

22 septiembre, 202022 septiembre, 2020 rokitoh Deja un comentario

En el Post anterior vimos como instalar y configurar Azure Sentinel en esta entrada veremos como crear una alerta para detectar posibles ataques de fuerza bruta.

Instalación y configuración de Azure Sentinel

21 septiembre, 202021 septiembre, 2020 rokitoh 1 comentario

En el siguiente articulo será el primero de una serie de artículos sobre la implementación de Azure Sentinel.

¿Qué es Azure Sentinel?

Microsoft Azure Sentinel es una solución de administración de eventos de información de seguridad (SIEM) y respuesta automatizada de orquestación de seguridad (SOAR) que es escalable y nativa de la nube. Azure Sentinel ofrece análisis de seguridad inteligente e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una única solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas.

Protegido: HackTheBox – admirer Writeup

18 agosto, 202014 febrero, 2024 rokitoh

Upgrade AWX Ansible

30 julio, 202030 julio, 2020 rokitoh Deja un comentario

En primer lugar instalamos todos los componentes necesario para la actualización

apt -y install python3 python3-pip git pwgen vim python3-docker python3-tower-cli

pip3 install requests==2.14.2

Instalamos docker-compose

Protegido: HackTheBox – Blunder Writeup

28 julio, 202028 julio, 2020 rokitoh

Bloquear ataques web en FreeBSD con Wazuh

28 julio, 202028 julio, 2020 rokitoh Deja un comentario

En anteriores entradas vimos como Bloquear ataques web con Wazuh pero estos bloqueos se basaba en servidores GNU/Linux

En este post, veremos cómo bloquear un ataques web en FreeBSD usando la funcionalidad de active response en Wazuh.

Active Response de wazuh ejecuta comandos en los agentes en respuesta de ciertas alertas. En este ejemplo, veremos como bloquear un ataque de fuerza bruta.

HackTheBox – Traceback Writeup

23 julio, 202018 agosto, 2020 rokitoh Deja un comentario

Escaneamos todos los puertos mediante nmap:

 nmap -p- -Pn -A 10.10.10.181 -n

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 96:25:51:8e:6c:83:07:48:ce:11:4b:1f:e5:6d:8a:28 (RSA)
|   256 54:bd:46:71:14:bd:b2:42:a1:b6:b0:2d:94:14:3b:0d (ECDSA)
|_  256 4d:c3:f8:52:b8:85:ec:9c:3e:4d:57:2c:4a:82:fd:86 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Help us
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.80%E=4%D=7/10%OT=22%CT=1%CU=32748%PV=Y%DS=2%DC=T%G=Y%TM=5F08825
OS:3%P=x86_64-pc-linux-gnu)SEQ(SP=103%GCD=1%ISR=10A%TI=Z%CI=Z%II=I%TS=A)SEQ
OS:(SP=103%GCD=1%ISR=10A%TI=Z%CI=Z%TS=A)OPS(O1=M54DST11NW7%O2=M54DST11NW7%O
OS:3=M54DNNT11NW7%O4=M54DST11NW7%O5=M54DST11NW7%O6=M54DST11)WIN(W1=7120%W2=
OS:7120%W3=7120%W4=7120%W5=7120%W6=7120)ECN(R=Y%DF=Y%T=40%W=7210%O=M54DNNSN
OS:W7%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%D
OS:F=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O
OS:=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W
OS:=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%R
OS:IPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)

Network Distance: 2 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 199/tcp)
HOP RTT      ADDRESS
1   42.90 ms 10.10.14.1
2   43.32 ms 10.10.10.181

Fix rpmdb: Thread died in Berkeley DB library

23 julio, 202023 julio, 2020 rokitoh Deja un comentario

si al estar gestionando mediante rpm o yum algún paquete y encuentras los siguientes errores significa que la base de datos RPM corrompida

error: rpmdb: BDB0113 Thread/process 8321/140220614731584 failed: BDB1507 Thread died in Berkeley DB library
error: db5 error(-30973) from dbenv->failchk: BDB0087 DB_RUNRECOVERY: Fatal error, run database recovery
error: cannot open Packages index using db5 -  (-30973)
error: cannot open Packages database in /var/lib/rpm
CRITICAL:yum.main:

Error: rpmdb open failed