<h1>Simulação adversarial e en

<h1>Simulação adversarial e engenharia de detecção</h1> Infraestrutura: - Windows server (A partir da versão 2012) - Servidor linux (Ubuntu, Debian...) Ferramentas a serem utilizadas: - [Splunk](https://www.splunk.com) - [Sysmon](https://learn.microsoft.com/pt-br/sysinternals/downloads/sysmon) - [Caldera](https://caldera.mitre.org) *O laboratório tem o intuito de criar um ambiente de simulação adversarial e detecção por parte do blue team, gerando um ciclo completo de melhorias e novas tentativas de ataque.* 1. Para iniciar o lab, é necessário realizar a configuração do windows server, realizando a instalação do AD, Sysmon e criação de alguns usuários e grupos, deixando o cenário mais real e ajudando na criação de regras de detecção posteriormente. > [Utilize este procedimento para realizar a configuração do sysmon](https://github.com/SwiftOnSecurity/sysmon-config#sysmon-config--a-sysmon-configuration-file-for-everybody-to-fork) --- 2. Para configuracão do ubuntu com o agente do splunk e caldera, é necessário atualizar as dependencias do apt e realizar o download dos binários > [Para download do splunk, é necessário realizar a criação de uma conta gratuita e pegar um free trial de 90 dias. Clique para o passo a passo.](https://www.youtube.com/watch?v=YFg5BVycWmQ&t) > [Para instalação do caldera, seguir essa documentação.](https://caldera.readthedocs.io/en/latest/Installing-CALDERA.html) --- 3. Agora, é necessário realizar o encaminhamento de logs do windows server para o splunk, e para isso, a máquina ubuntu deve estar na mesma rede do windows server ou ter um IP acessível publicamente. Para realizar o encaminhamento de logs, é necessário realizar o [download do splunk forwarder](https://www.youtube.com/watch?v=RjO9tcrxjug&t) e configurar para realizar o encaminhamento de logs para a [porta de destino configurada dentro do splunk](https://www.youtube.com/watch?v=EOsE7BQslhw). Para o encaminhamento ser efetivo, conforme identificado no vídeo explicando o download do forwarder em ambiente windows, é necessário realizar a configuração do input.conf, segue abaixo a configuração que iremos utilizar em nosso ambiente de testes (já com o sysmon ativo): ``` C:\Program Files\SplunkUniversalForwarder\etc\system\local\inputs.conf WinEventLog://Application] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest index = windows renderXml = 1 [WinEventLog://Security] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest index = windows renderXml = 1 [WinEventLog://System] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest index = windows renderXml = 1 [WinEventLog://Microsoft-Windows-Sysmon/Operational] disabled = false renderXml = true index = sysmon source = XmlWinEventLog:Microsoft-Windows-Sysmon/Operational ``` Se o processo foi efetivo, ao realiar uma busca no splunk pelos index onde estão sendo encaminhados os logs, iremos ter uma quantidade significativa de logs. Exemplo utilizando o EventID 1 (Criação de processo no Sysmon): ![](https://hackmd.io/_uploads/HJpLf-oG6.jpg) --- 4. Após ter certeza que o Splunk está recebendo logs normalmente, é necessário realizar a configuração e execução do beacon do caldera, para dar inicio aos testes no ambiente.