Tracking Change con Azure
Estimados amigos de Inseguros !!!
En este post os traigo una pedazo de solución de bajo coste para mejorar la vida del sysadmin, y también del Threat Hunter, ahora os contaré...
En primer lugar, vamos a usar una capacidad que nos da Azure ARC mediante su agente, de monitorizar nuestros equipos. NO solo cloud, CUALQUIERA.
Esta capacidad va desde detectar un servicio nuevo, parado, iniciado, hacer File integrity monitor, o decirnos el software instalado y los cambios. Más o menos lo que haríamos con OSSEC/Wazuh.
Una vez tenemos la configuración inicial, tendremos en Log Analytics / Sentinel, una tabla denominada ConfigurationData. ¿Qué podemos hacer con esta tabla? ¡Lo que queramos!
Hacer un count del software y avisarme, servicios críticos, o monitorizar un fichero sensible. Montar un honey file para detectar cambios y así ransomware, etc.
Pero seguimos. Ahora vamos a usar un repositorio de CISA con las últimas vulnerabilidades explotadas. La url es esta:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
¿Y cuál es la magia? Podemos cruzar la tabla "con mi software" con la tabla "esto se está explotando" para darnos, o bien una alerta proactiva y que actuemos, o una alerta reactiva en una investigación, para poder trazar el inicio o alguna fase del Kill Chain que haya explotado alguna vulnerabilidad.
Como ves, son dos cosas sencillas, distintas, y a coste céntimos.
En el curso de Monitorización y caza de incidentes de Azure que va a salir en unos días, explicamos más esto, os damos las KQL y lo explicamos todo.
Con esta información, podrás hacer tus pinitos, es muy fácil. Recuerda que yo te vendo tiempo, si te quieres ahorrar la pelea de hacerlo tú, ya sabes.
PERO si tienes dudas, o necesitas algo más, no dudes en pedírmelo, no pasa nada porque te mande la KQL o cualquier duda.
Gracias por leerme !!
Y RECUERDA:
El pack completo de cursos, en España, es GRATIS si tu empresa lo paga con crédito FUNDAE.
Aquí te dejo todos los cursos: https://academia.seguridadsi.com/todos-cursos
Curso recomendado: DFIR en Azure
Aprende a investigar incidentes y correlacionar señales en entornos Microsoft.
Ver curso
Tracking Change con Azure
Estimados amigos de Inseguros !!!
En este post os traigo una pedazo de solución de bajo coste para mejorar la vida del sysadmin, y también del Threat Hunter, ahora os contaré...
En primer lugar, vamos a usar una capacidad que nos da Azure ARC mediante su agente, de monitorizar nuestros equipos. NO solo cloud, CUALQUIERA.
Esta capacidad va desde detectar un servicio nuevo, parado, iniciado, hacer File integrity monitor, o decirnos el software instalado y los cambios. Más o menos lo que haríamos con OSSEC/Wazuh.
Una vez tenemos la configuración inicial, tendremos en Log Analytics / Sentinel, una tabla denominada ConfigurationData. ¿Qué podemos hacer con esta tabla? ¡Lo que queramos!
Hacer un count del software y avisarme, servicios críticos, o monitorizar un fichero sensible. Montar un honey file para detectar cambios y así ransomware, etc.
Pero seguimos. Ahora vamos a usar un repositorio de CISA con las últimas vulnerabilidades explotadas. La url es esta:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
¿Y cuál es la magia? Podemos cruzar la tabla "con mi software" con la tabla "esto se está explotando" para darnos, o bien una alerta proactiva y que actuemos, o una alerta reactiva en una investigación, para poder trazar el inicio o alguna fase del Kill Chain que haya explotado alguna vulnerabilidad.
Como ves, son dos cosas sencillas, distintas, y a coste céntimos.
En el curso de Monitorización y caza de incidentes de Azure que va a salir en unos días, explicamos más esto, os damos las KQL y lo explicamos todo.
Con esta información, podrás hacer tus pinitos, es muy fácil. Recuerda que yo te vendo tiempo, si te quieres ahorrar la pelea de hacerlo tú, ya sabes.
PERO si tienes dudas, o necesitas algo más, no dudes en pedírmelo, no pasa nada porque te mande la KQL o cualquier duda.
Gracias por leerme !!
Y RECUERDA:
El pack completo de cursos, en España, es GRATIS si tu empresa lo paga con crédito FUNDAE.
Aquí te dejo todos los cursos: https://academia.seguridadsi.com/todos-cursos
Curso recomendado: DFIR en Azure
Aprende a investigar incidentes y correlacionar señales en entornos Microsoft.
Ver curso