taibeihacker
Moderator
Permiso:
載入中……
permiso.io
載入中……
permiso.io
Notes
为了优化您对CloudGrappler的利用,我们建议在查询结果时使用较短的时间范围。这种方法提高了效率并加速了信息的检索,从而确保了该工具的无缝体验。010-1011
Required Packages
要在本地克隆CloudGrep存储库,请运行clone.sh文件。另外,您可以手动将存储库手动到克隆CloudGrappler的同一目录。bash chmod +x clone.sh ./clone.sh
Cloning cloudgrep locally
此工具提供CLI(命令行接口)。因此,我们在这里审查其用途:Input
根据您的云基础结构配置定义data_sources.json文件内部扫描范围。 The following example showcases a structured data_sources.json file for both AWS and Azure environments:Example 1 - Running the tool with default queries file
将查询中的源修改为通配符字符(*)将在AWS和Azure环境中扫描相应的查询。{
'aws': [
{
'bucket':'cloudtrail-logs-0000000-ffffff',
'prefix': [
'testtrails/awslogs/00000000/cloudtrail/eu-east-1/2024/03/03',
'testtrails/awslogs/00000000/cloudtrail/us-west-1/2024/03/04'
这是给出的
},
{
'Bucket':'AWS-KOSOVA-US-EAST-1-0000000'
}
],
'azure': [
{
'accountName':'logs',
'container': [
'Cloudgrappler'
这是给出的
}
这是给出的
}运行命令
python3 main.py
Note
Python3 main.py -P[+]运行getfiledownloadurls。*secrets_ for aws
[+]威胁actor: lucr3
[+]严重性:培养基
[+] Description:审查Cloudshell的使用。珀索(Permiso)很少证人在已知攻击者之外使用云壳。但是,这可能是您普通业务用例的一部分。
Example 2 - Permiso Intel Use Case
Python3 Main.py -P -JO报告
└ - json
├ - aws
││└└-─2024-03-0401:01 AM
││└站- Cloudtrail-logs-00000000-ffffff--
│└│站是testtrails/awslogs/00000000/cloudtrail/eu-east-1/2024/03/03
││└─-getfiledownloadurls。*secrets_.json
└ - 氨酸
└└期至2024-03-04 01:01 AM
└─.mlogs
└ - CloudGrappler
└ - ─ - okta_key.json
Example 3 - Generate report
Python3 Main.py -P -SD 2024-02-15 -ED 2024-02-16Example 4 - Filtering logs based on date or time
python3 main.py -q'getfiledownloadurls。Example 5 - Manually adding queries and data source types
python3 main.py -f new_file.jsonExample 6 - Running the tool with your own queries file
Running in your Cloud and Authentication cloudgrep
您的系统将需要访问S3存储桶。例如,如果您在笔记本电脑上运行,则需要配置AWS CLI。如果您在EC2上运行,则实例配置文件可能是最佳选择。如果您在与S3的VPC端点的S3存储桶中的EC2实例上运行,则可以避免出口费用。您可以通过多种方式进行身份验证。
AWS
使用Azure进行身份验证的最简单方法是首先运行:AZ登录
这将打开一个浏览器窗口,并提示您登录到Azure。