taibeihacker
Moderator
随着EDRS(端点检测和响应)提供的检测规则的数量以及定制创建的攻击规则的迅速增加,以及对检测规则持续功能测试的需求已成为证据。但是,手动重新运行这些攻击并通过检测规则将它们交叉引用是一项值得自动化的劳动密集型任务。
为了应对这一挑战,我开发了“紫色”,这是一项开源计划,旨在促进检测规则的自动测试。利用原子红色团队项目的功能,该项目允许在MITER TTP(战术,技术和程序)之后模拟攻击。 Purplekeek增强了对这些TTP的模拟,以作为评估检测规则有效性的起点。
在测试环境中自动化模拟一个或多个TTP的过程会带来某些挑战,其中之一是多次模拟后平台的污染。但是,PurpleKeep的目的是通过简化模拟过程并促进目标平台的创建和仪器来克服这一艰难。
Purplekeke是作为概念验证的主要开发的,是针对基于Azure的环境量身定制的端到端检测规则验证平台。它已与Microsoft Defender自动部署作为首选EDR解决方案的自动部署进行了测试。 PurpleKeep也为安全和审核策略配置提供了支持,使用户可以模仿所需的端点环境。
为了促进分析和监视,PurpleKeep与Azure Monitor和Log Analytics Services集成,以存储仿真日志,并允许与存储在同一平台中的任何事件和/或警报的进一步关联。
TLDR: PurpleKeeps提供了一个攻击模拟平台,可作为基于Azure的环境中端到端检测规则验证的起点。
Requirements
该项目基于Azure管道,需要以下内容才能运行:Azure Service Connection to a resource group as described in the Microsoft Docs Assignment of the 'Key Vault Administrator' Role for the previously created Enterprise Application MDE onboarding script, placed as a Secure File in the Library of Azure DevOps and make it accessible to the pipelines
Optional
You can provide a security and/or audit policy file that will be loaded to mimic your Group Policy configurations.使用Azure DevOps中库的安全文件选项,使您的管道可以访问它。有关可配置的项目,请参阅变量文件。
Design
Infrastructure
部署基础架构使用Azure管道执行以下步骤:部署Azure Services :关键保险库日志分析工作空间数据连接端点数据连接规则生成Windows帐户的SSH KEYPAIR和密码,并存储在密钥库中创建Windows 11 VM安装OpenSSH安装OpenSSH配置并部署SSH public键安装Investoke-atomicredteam Invoke-atomicredteam instomiCoftems instomoft Defender in Microsoft Defers和AudiT protist 3 33 procect 3 33仅支持来自公共存储库的原子。管道将技术ID作为输入或逗号分开的技术列表,例如:
T1059.003 T1027,T1049,T1003模拟的日志被摄入到日志分析工作空间的Atomiclogs_cl表中。
当前有两种运行仿真的方法:
Simulation
此管道将在每个TTP进行模拟之后部署一个新的平台。日志分析工作区将维护每个运行的日志。Warning: this will onboard a large number of hosts into your EDR