Red-Orbita – Página 8 – Blog Red-Orbita

Instalar CA interna (Certification Authority) OpenSSL en GNI/Linux

10 enero, 202310 enero, 2023 rokitoh Deja un comentario

Las entidades de certificación (CA) son responsables de emitir certificados digitales para verificar identidades en Internet. Las CA públicas son una opción popular para verificar la identidad de sitios web y otros servicios que se proporcionan al público en general, y las CA privadas suelen usarse para grupos cerrados y servicios privados.

Compilar una entidad de certificación privada le permitirá configurar, probar y ejecutar programas que requieren conexiones cifradas entre un cliente y un servidor. Con una CA privada, puede emitir certificados para usuarios, servidores o programas y servicios individuales dentro de su infraestructura.

Instalar extensiones en Azure Database for PostgreSQL flexible server

23 diciembre, 202223 diciembre, 2022 rokitoh Deja un comentario

En primer lugar nos vamos a Azure Database for PostgreSQL flexible server > Seleccionamos la instancia > Server Parameters y buscamos azure.extenions. En dicha opción nos muestra todas las extensiones disponibles para la versión que tenemos instaladas

Integrar Elastic con Azure AD

2 diciembre, 20222 diciembre, 2022 rokitoh Deja un comentario

En primer lugar, como requisito previo es necesario registrar una nueva app en Azure AD y crear un Client Secret.

Los datos que necesitaremos para la configuración son los siguientes:

Application (client) ID
Directory (tenant) ID
Client Secret ID

Logstash Port 514 Permission denied

29 noviembre, 202229 noviembre, 2022 rokitoh Deja un comentario

Al intentar iniciar el servicio de logstash con el puerto 514 en escucha podemos apreciar el siguiente problema.

[2022-11-29T10:30:18,202][ERROR][logstash.inputs.udp      ][main][dec7ab89e06b39e0468c97b39e3a559eccb915944cc44830732c52de29f9852a] UDP listener died {:exception=>#<Errno::EACCES: Permission denied - bind(2) for "0.0.0.0" port 514>, :backtrace=>["org/jruby/ext/socket/RubyUDPSocket.java:200:in `bind'", "/usr/share/logstash/vendor/bundle/jruby/2.6.0/gems/logstash-input-udp-3.5.0/lib/logstash/inputs/udp.rb:129:in `udp_listener'", "/usr/share/logstash/vendor/bundle/jruby/2.6.0/gems/logstash-input-udp-3.5.0/lib/logstash/inputs/udp.rb:81:in `run'", "/usr/share/logstash/logstash-core/lib/logstash/java_pipeline.rb:411:in `inputworker'", "/usr/share/logstash/logstash-core/lib/logstash/java_pipeline.rb:402:in `block in start_input'"]}

Instalación y configuración de ELK 8.x

22 noviembre, 20222 diciembre, 2022 rokitoh Deja un comentario

¿Qué es ELK?

Es un conjunto de herramientas de gran potencial de código abierto que se combinan para crear una herramienta de administración de registros permitiendo la monitorización, consolidación y análisis de logs generados en múltiples servidores, estas herramientas son: ElasticSearch, Logstash y Kibana.

También pueden ser utilizadas como herramientas independientes, pero la unión de todas ellas hace una combinación perfecta para la gestión de registros como ya hemos mencionado.

Sin mas preambulo empezamos con la con la instalación

Cyberdefenders – Elastic-Case

29 junio, 202229 junio, 2022 rokitoh Deja un comentario

Scenario:

An attacker was able to trick an employee into downloading a suspicious file and running it. The attacker compromised the system, along with that, The Security Team did not update most systems. The attacker was able to pivot to another system and compromise the company. As a SOC analyst, you are assigned to investigate the incident using Elastic as a SIEM tool and help the team to kick out the attacker.

Resources:

https://www.elastic.co/
Threat Hunting with Elastic Stack by Andrew Pease (Book)
https://www.youtube.com/playlist?list=PLeLcvrwLe184BoWZhv6Cf2kbi-bKBeDBI
https://www.youtube.com/c/OfficialElasticCommunity
https://www.elastic.co/blog/

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 8 (ATT&CK T1037.001, T1039, T1041, T1046)

23 junio, 202223 junio, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3, Ver parte 4, Ver parte 5, Ver parte 6, Ver parte 7

Integrar alertas wazuh con Thehive – rootcheck

22 junio, 202222 junio, 2022 rokitoh Deja un comentario

Seguimos configurando nuestra infraestructura SIRP (https://red-orbita.com/?p=8726),En esta entrada veremos como integrar las alertas generadas por rootcheck en wazuh con thehive

Para ello nos vamos al servidor donde tenemos implementado elasalert y creamos las siguientes reglas:

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 7 (ATT&CK T1033, T1036)

16 junio, 202216 junio, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3, Ver parte 4, Ver parte 5, Ver parte 6

Comenzamos con la sección T1033 la cual ejecutará las siguientes tecnicas:

Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte 6 (ATT&CK T1027)

9 junio, 20229 junio, 2022 rokitoh Deja un comentario

Seguimos con la seríe de Emulación de ataques mediante Atomic Red Team y Detección con Azure Sentinel Parte. Ver parte 1, Ver parte 2, Ver parte 3, Ver parte 4, Ver parte 5