Uçtan-uca bir güvenlik izleme laboratuvarının kurulması (DevOps+Security = Profit!)

Giriş

Özellikle defans alanında çalışmalar yürüten güvenlik araştırmacılarının önündeki en büyük engellerden birisi test için kurulan sistemlerinin kurulumu ve konfigürasyondaki zorluklardır. Bu kurulumların kimisi tekrar tekrar yapılması gerektiği için bazen bu işlemler içinden çıkılmaz bir hal alır.

Tıpkı böyle düşünmüş olacak ki Chris Long isimli arkadaş Detection Lab isimli bir proje yapmış.

İlgili proje, tamamen otomatik olarak, biri Linux tabanlı loglama makinesi, diğer 3'ü yine script ile kurulan bir Windows Domain'e ait olmak üzere toplamda 4 adet makine kurulumu ve birbirleriyle entegrasyonunu yapıyor. Bu Windows makinelerden 1'i DC, diğer 1 tanesi WEF (Windows Event Forwarder) ve kalan 1 tanesi ise yine aynı domain'e dahil bir Windows 10 client (kurban) makinesi olarak görev alıyor. Domain policy ile Sysmon ve PS dahil pek çok loglama konfigürasyonunu da kendisi yaparak WEF üzerinden Splunk Forwarder ile logger makinesine logların iletilmesini sağlıyor. Ve yine osquery ile EDR fonksiyonelitesi sağlanırken bir yandan da Caldera ile Windows ortamlarda saldırı simülasyonu yapmanızı (ve logları Splunk'ta görmenizi) sağlıyor.

Özetle aşağıdaki sistemleri ve bileşenleri Vagrant ve Packer ile otomatik kurup konfigüre ediyor sistem;

Bileşenler

DC - Windows 2016 Domain Controller

DC sunucu.

  • WEF Server Configuration GPO
  • Powershell logging GPO
  • Enhanced Windows Auditing policy GPO
  • Sysmon
  • osquery
  • Splunk Universal Forwarder (Sysmon & osquery loglarını iletir)
  • Sysinternals araçları

WEF - Windows 2016 Server,

Windows event forwarder snucusu

  • Windows Event Collector
  • Windows Event Subscription Creation
  • Powershell transcription loglama paylaşımı
  • Sysmon
  • osquery
  • Splunk Universal Forwarder (WinEventLog & Powershell & Sysmon & osquery loglarını ileten bileşen)
  • Sysinternals araçları

Win10 - Windows 10 Workstation

Kurban PC'si

  • Sysmon
  • osquery
  • Splunk Universal Forwarder (Sysmon & osquery loglarını iletir)
  • Sysinternals araçları

Logger - Ubuntu 16.04

  • Splunk Enterprise (Loglama uygulaması)
  • Fleet osquery Manager (EDR uygulaması)
  • Mitre's Caldera Server (ATT&CK testleri için)
Kurulum

Kurulum için host makinenizde en az 16GB RAM, 55 GB boş HDD alanı gerekmektedir. Yine işlemcinizin sanallaştırma desteklemesi gerekmektedir.

Öncelikle kurulum yapacağınız ortama göre Vagrant ve Packer uygulamalarını kurmanız gerekiyor.

NOT: Windows 10 host'a -sanallaştırma platformu olarak Virtualbox kullanılarak-
kurulum yapılacaktır.

Packer için: https://www.packer.io/downloads.html (Ben v1.1.3 kullandım)
Vagrant için: https://www.vagrantup.com/docs/installation/ (Ben v2.0.1 kullandım)
Virtualbox: http://www.virtualbox.org

İlgili uygulamalar kurulduktan sonra yapılması gereken;

Öncelikle https://github.com/clong/DetectionLab adresinden zip'li olarak dosyaları indirerek dizinimize açıyoruz.

İlgili dizinde cmd açarak;

cd detectionlab/Packer

packer.exe build --only=virtualbox-iso windows_10.json

packer.exe build --only=virtualbox-iso windows_2016.json

bu komutları sırasıyla çalıştırdıktan sonra oluşan .box uzantılı windows2016 ve windows10 dosyalarını ../Boxes dizinine taşıyoruz.

Sonrasında ../Vagrant klasörüne giderek;

vagrant.exe plugin install vagrant-reload

ve

vagrant.exe up

komutlarını çalıştırıyuruz.

Bu işlemle -bağlantı hızınıza göre değişkenlik gösterebilmekle beraber- yaklaşık 2 saati bulan bir kurulum süreci başlayacaktır.

Bu işlem tamamlandığında alttaki gibi 4 adet makine kurulumu gerçekleştirilecektir.

Kullanım/Arayüzler

Splunk arayüzü

Splunk Sysmon logları

Splunk Autoruns logları

Splunk index isimleri;

osquery
osquery-status
powershell
sysmon
wineventlog

osquery/Fleet arayüzü

Örnek osquery sorgusu

Caldera test ortamı arayüzü

Sanal makineleri beklemeye almak için;

vagrant.exe suspend

yeniden başlatmak için

vagrant.exe resume

komutlarını kullanabilirsiniz

Sistemlere ait erişim bilgileri

Domain Name: windomain.local
Admininstrator login: vagrant:vagrant
Fleet login: https://192.168.38.5:8412 - admin:admin123#
Splunk login: https://192.168.38.5:8000 - admin:changeme
Caldera login: https://192.168.38.5:8888 - admin:caldera

Referans: https://medium.com/@clong/introducing-detection-lab-61db34bed6ae

Furkan ÇALIŞKAN

Read more posts by this author.