En el episodio de hoy, seguimos con la serie de Azure Sentinel  ( 1,2,34 y 5 ) esta vez con el episodio 6, hablando de las Watchlist y un pequeño caso de uso de ejemplo para entenderlo mejor.

¡Estimados amigos de Visionarios!

Las listas de seguimiento o de control son un objeto especial usado en Sentinel en el que mediante una estructura simple nombre-valor, podemos cargar elementos en nuestro SIEM de manera sencilla y usarlo en nuestros procesos de detección, búsquedas, cuadernos, etc y sobre todo de manera rápida, ya que se guardan en la “ram” de Azure.

El proceso es muy sencillo, por ejemplo, vamos a usar un CSV con una lista de claves de registro importantes que queremos comprobar.

Con el CSV, accedemos a Lista de Control (Versión preliminar) y creamos nuestro objeto.

lista de control azure
asistente para lista de seguimiento
Azure Sentinel: De 0 a 100. Episodio 6: WatchList por ejemplo de claves de registro interesantes
Azure Sentinel: De 0 a 100. Episodio 6: WatchList por ejemplo de claves de registro interesantes

Una vez tenemos esta información, podemos buscar en nuestro sysmon si hay comandos Reg (.exe) que contenga alguna clave del registro de las que tenemos en nuestra watchlist.

SysmonParser

| where file_name == “reg.exe” and process_command_line has_any ((_GetWatchlist(‘RegKeys’) | project SearchKey))

Lo interesante de esta consulta sencilla es que usamos el operador has_any, que espera como valor/valore una tabla o lista. Si lo intentamos con contains, in o similar, no podremos porque no le vamos a pasar un parámetro, sino una lista

Azure Sentinel: De 0 a 100. Episodio 6: WatchList por ejemplo de claves de registro interesantes

Podemos hacer una variación y auditar las claves del registro de manera sencilla con las opciones nativas de Windows, ya que por ejemplo, si el atacante no usa la línea de comandos y lo hace con el entorno gráfico… no lo detectaríamos

Azure Sentinel: De 0 a 100. Episodio 6: WatchList por ejemplo de claves de registro interesantes

Ahora vamos a la clave del registro que queremos monitorizar y aplicamos los permisos de auditoria como si fuese un fichero.

claves del registro

Ahora bien, si vamos a usar una lista de 200 claves del registro, ¿tenemos que ir una a una activando la auditoria? ¿y Si esto lo queremos extrapolar a un pool de servidores? Vamos a ello. Vamos a las GPO y en la opción Registro, vamos a indicar la misma clave que hemos activado la auditoria.

las GPO

Con la clave cargada, cambiamos el permiso de auditoria que queremos establecer.

Si se te ha pasado a la cabeza lo mismo que a mi, verás el problema de mantener actualizada la lista, ya que habría que generar manualmente las claves del registro.

Para esto hay un truco, y es que, si nos vamos al fichero de definición de la política, podemos modificar el fichero, copiando y pegando la línea de la clave…

Azure Sentinel: De 0 a 100. Episodio 6: WatchList por ejemplo de claves de registro interesantes

Conclusión

Como puedes apreciar, trabajar con Azure Sentinel es sumamente sencillo, al final el software te das las capacidades, pero lo que si considero que es más importante es saber las capas de debajo, lo que hay en los sistemas que estamos monitorizando y la información que buscamos, ese trabajo previo de configuración para generar buenos datos, para luego explotar buenos datos.

¡Sigue Aprendiendo!

Si quieres que te ayudemos a poner en marcha este tipo de proyecto, no dudes en contactar con nosotros. También puedes aprovechar las formaciones existentes para ampliar tus conocimientos 👇🏼

>> Más info
0 Shares:
Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You May Also Like