Hace tiempo que no subo nada de Azure sentinel, en esta ocasión veremos como parsear los logs de Powershell en Azure Sentinel
En primer lugar agregamos Azure Sentinel > Settings > Workspace Settings > y dentro de la sección de Settings presionamos sobre Agents configuration
Dentro de ahí damos a: Add windows event logs y seleccionamos Microsoft-Windows-PowerShell
Leer más
Azure Web Application Firewall es un servicio nativo de nube que protege las aplicaciones web frente a técnicas comunes de pirateo web, como la inyección de código SQL, y vulnerabilidades de seguridad, como los scripts entre sitios. Implemente el servicio en cuestión de minutos para obtener una visibilidad completa de su entorno y bloquear los ataques malintencionados.
El monitoreo de Azure WAF se puede realizar a través de:
En la siguiente entrada vamos a ver como montar una arquitectura de SFTP en Azure en alta disponibilidad.
Este tutorial no veremos en detalle como desplegar un servidor en azure, ni una vnet…etc por lo tanto se pasará un poco por encima en la creación de estos recursos.
Escenario
Para garantizar la alta disponibilidad del servicio disponemos de dos servidores GNU/Linux en diferentes zonas de disponibilidad.
Dicha alta disponibilidad cuenta con balanceo de carga entre los diferentes servidores mediante Azure Load Balancer, de la misma forma, para otorgar persistencia de los datos transferidos contamos con almacenamiento compartido entre los dos servidores empleando Azure File share
Para montar los recursos compartidos de Azure FIle Share se realizará mediante autofs, de esta forma garantizamos que los recursos únicamente se monten cuando sean necesarios.
Diagrama de red
¿Que es Azure Active Directory Domain Services?
Azure Active Directory Domain Services (Azure AD DS) proporciona servicios de dominio administrados como unión a un dominio, directiva de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos o NTLM. Puede usar estos servicios de dominio sin necesidad de implementar o administrar los controladores de dominio de la nube, ni de aplicarles revisiones.
Leer másEn la anterior entrada vimos como parsear los logs que nos llegan desde Fortigate.
En esta ocasión veremos como crear reglas en Azure Sentinel para que cuando detecte o bloque algún ataque nos genere una alerta.
Para ello vamos a utilizar las siguientes querys:
Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "high" and act == "detected" or act == "reset")
Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "detected" or act == "reset")
Forti | where (FTNTFGTseverity == "critical" or FTNTFGTseverity == "High" and act == "dropped" or act == "blocked")
Forti | where (FTNTFGTseverity == "medium" or FTNTFGTseverity == "warning" and act == "dropped" or act == "blocked")Para que no se alargue excesivamente la entrada únicamente mostraré como se hace una regla. Pero debéis realizar una regla por cada query que os mostré en el punto anterior.
Leer másEn la siguiente entrada seguimos viendo como montar nuestro entorno de Azure Sentinel desde cero.
En esta ocasión veremos como parsear los eventos que nos llegan desde Foritgate.
Si observamos como nos llega los eventos de parsear nos damos cuenta que realmente los eventos importantes se almacenan dentro de las dos columnas «SyslogMessage»
Leer másAnteriormente ya vimos como conectar diferentes recursos para obtener información de diferentes dispositivos, en este caso vamos a parsear los eventos que nos llega de Sysmon
Si observamos como nos llega los eventos de Sysmon nos damos cuenta que realmente los eventos importantes se almacenan dentro de las dos columnas «ParameterXml» y «EventData»:
Leer másEn anteriores entradas ya vimos como Configurar un reenviador de Syslog en Azure Sentinel en esta ocasión utilizaremos ese reenviador para conectar Fortinet con el Workspace.
En primer lugar, debemos configurar Fortinet para reenviar mensajes de Syslog en formato CEF (Por defecto ya lo envía en formato CEF) a nuestra área de trabajo de Azure a través del agente de Syslog (El reenviador configurado anteriormente).
Leer másEn esta entrada veremos como configurar un reenviador de Syslog para poder integrar diferentes componentes como Firewall a nuestro Azure Sentinel.
Para empezar debemos instalar OMS Agent en un servidor GNU/Linux
Los sistemas operativos soportados son los siguientes:
En el Post anterior vimos como instalar y configurar Azure Sentinel en esta entrada veremos como crear una alerta para detectar posibles ataques de fuerza bruta.
Leer más