Лаборатория обнаружения

С 2023-01-01 лаборатория обнаружения (DetectionLab) больше не поддерживается активно

Лаборатория обнаружения проверяется еженедельно по субботам через запланированный рабочий процесс CircleCI, чтобы убедиться, что сборки проходят успешно.

Назначение

Эта лаборатория разработана с учётом потребностей защитников. Её основная цель — позволить пользователю быстро создать домен Windows, который поставляется с предварительно загруженным инструментарием безопасности и некоторыми лучшими практиками, когда речь заходит о конфигурациях системного логирования. Его можно легко модифицировать в соответствии с большинством потребностей или расширить, включив дополнительные хосты.

Подробнее о лаборатории обнаружения читайте на Medium здесь: https://medium.com/@clong/introducing-detection-lab-61db34bed6ae

ПРИМЕЧАНИЕ: Эта лаборатория никоим образом не была усилена и работает с учётными данными vagrant по умолчанию. Пожалуйста, не подключайте её к сетям, которые вам важны. Эта лаборатория намеренно разработана как небезопасная; её основная цель — обеспечить видимость и интроспекцию каждого хоста.

Основные функции лаборатории:

• Microsoft Advanced Threat Analytics (https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics) установлен на машине WEF, а лёгкий шлюз ATA установлен на DC.
• Предварительно установлен переадресатор Splunk, и все индексы уже созданы. Технологические дополнения также предварительно настроены.
• Настроена пользовательская конфигурация аудита Windows с помощью GPO, которая включает аудит процессов командной строки и дополнительное ведение журнала на уровне ОС.
• Реализованы подписки и пользовательские каналы Palantir's Windows Event Forwarding (http://github.com/palantir/windows-event-forwarding).
• Включен журнал транскриптов PowerShell. Все журналы сохраняются в \\wef\pslogs.
• osquery установлен на каждом хосте и предварительно настроен для подключения к серверу Fleet через TLS. Fleet предварительно настроен с конфигурацией из конфигурации Palantir's osquery (https://github.com/palantir/osquery-configuration).
• Установлен и настроен Sysmon с использованием открытой конфигурации Sysmon Олафа Хартонга (https://github.com/olafhartong/sysmon-modular).
• Все элементы автозапуска регистрируются в журналах событий Windows через AutorunsToWinEventLog (https://github.com/palantir/windows-event-forwarding/tree/master/AutorunsToWinEventLog).
• Zeek и Suricata предварительно настроены для мониторинга и оповещения о сетевом трафике.
• Apache Guacamole установлен для лёгкого доступа ко всем хостам из вашего локального браузера.

Создание лаборатории обнаружения

При подготовке к созданию лаборатории обнаружения локально обязательно используйте сценарии prepare.[sh|ps1] внутри папки Vagrant, чтобы ваша система прошла проверку предварительных требований для создания лаборатории обнаружения.

• Предварительные требования
• MacOS — Virtualbox или VMware Fusion
• Windows — Virtualbox или VMware Workstation
• Linux — Virtualbox или VMware Workstation
• AWS через Terraform
• Azure через Terraform и Ansible
• ESXi через Terraform и Ansible
• HyperV
• LibVirt
• Proxmox

DetectionLab