PurpleCloud:A little tool to play with Azure Identity - Azure and Entra ID lab creation tool. Blog: https://medium.com/@iknowjason/sentinel-for-purple-teaming-183b7df7a2f4

A little tool to play with Azure Identity - Azure and Entra ID lab creation tool. Blog: https://medium.com/@iknowjason/sentinel-for-purple-teaming-183b7df7a2f4

分支13Tags4
文件最后提交记录最后更新时间
3 年前
3 年前
1 年前
1 年前
4 年前
3 年前
3 年前
1 年前
5 年前
1 年前
3 年前

GitHub release (latest SemVer) PyPI - Python Version GitHub repo size

文档

用于创建不同 Azure 安全实验室的 Terraform 代码生成器。

完整文档请访问:https://www.purplecloud.network

更新日志

2024年10月18日:更新 Azure Sentinel 生成器(更新 AADDiagnostic Setting 日志类别)

2024年10月16日:更新 Azure Sentinel 生成器(更新托管标识角色)

  • 在 sentinel.py 中:在每个 Windows 10 系统上添加了更多托管标识 VM 攻击路径。为用户分配的标识添加了 Owner、Virtual Machine Contributor、Key Vault Reader 角色。对于系统分配的标识,添加了 Contributor、Virtual Machine Contributor、Key Vault Reader 角色。

2024年8月20日:更新 Azure Sentinel 生成器(检测工程更新:在同一 LAW 中获取端点和 Entra 日志)

  • 在 sentinel.py 中:更新了在域控制器和所有 Windows 端点上自动安装新的 Azure Monitor Agent (AMA)!从现在开始,所有 Windows 端点会自动将日志发送到 Log Analytics Workspace / Sentinel。更新了 Sysmon 和 Windows / 安全事件日志的检测规则筛选器。
  • 在 sentinel.py 中:添加了托管标识 VM 攻击路径。
  • 在 sentinel.py 中:添加了诊断设置自动 terraform 部署,以将 Entra ID 日志发送到 Log Analytics Workspace / Sentinel。
  • 在 sentinel.py 中:在域控制器上,添加了 Sysmon 安装,并将所有 Sysmon/安全日志发送到 LAW/Sentinel。
  • 在 sentinel.py 中:在域控制器上,移除了 CSE,并通过 PowerShell 简化了 AD 林安装。
  • 在 sentinel.py 中:在所有 Windows 上:添加了 PowerShell Core 和 OpenSSH 服务器,支持通过 SSH 进行远程 PowerShell 会话。
  • 在 sentinel.py 中:移除了 Elastic Detection Rules 和 APT Simulator。

2024年2月18日:更新Atomic Red Team (ART) 安装

  • 在sentinel.py、ad.py中:将ART安装更新为最新方法,以便轻松调用Invoke-Atomics
  • 在sentinel.py、ad.py中:修复了Elastic Detection Rules的安装漏洞

2022年11月18日:更新managed_identity.py和aadjoin.py

  • 在managed_identity.py中,将默认虚拟机大小更改为A1v2,以降低成本。
  • 在aadjoin.py中,更改默认Azure AD密码以移除特殊字符。

2022年11月3日:新增Terraform生成器:ADFS和AADJoin

  • 新增Terraform生成器:adfs.py。此生成器可构建带有域控制器的联合ADFS实验室。
  • 新增Terraform生成器:aadjoin.py。此生成器可构建带有Windows 10托管设备的Azure AD加入实验室。
  • 将所有生成器移至单独的子目录中,以实现Terraform资源和状态的更清晰分离,并提高易用性
  • 删除旧模板的归档目录
  • 将AAD Connect MSI放置在ADFS服务器的桌面上
  • 在Windows 10 Pro上添加PurpleSharp以确保自动下载:ad.py、sentinel.py
  • 更新引导脚本以确保自动展开存档:ad.py、sentinel.py

2022年9月8日:更新托管标识生成器,以实现源IP的自动白名单功能。

  • 修复了Windows 10新目录名称的一个问题
  • 更改managed_identity.py,以使用ifconfig.me的http数据资源进行新的自动白名单设置

2022年9月6日:更新域控制器上的Azure AD Connect。

  • files/dc文件夹中包含可自定义的Azure AD Connect MSI。
  • 将AAD Connect MSI更新至2.x版本
  • 自动上传/下载到域控制器的本地管理员桌面

2022年9月2日:添加对自定义CSV文件的支持,以便将您自己的AD用户、组和OU加载到AD DS中。

  • 使用--csv file.csv导入您自己的CSV文件。该文件必须符合How AD Builds on the DC部分中描述的特定格式
  • 同时支持sentinel.pyad.py AD DS代码生成器。

9/1/22:移除了 local-exec 和 ansible!支持自定义文件!升级了 Sysmon 和 Velociraptor。

  • 移除了 local-exec 和 ansible 依赖项。所有后期配置管理均通过 user-data 以及 bash/powershell 完成。
  • 将范围内的所有文件(winlogbeat、sysmon、sysmon-config)更改为独立封装形式,可自定义以便上传至存储容器或从存储容器下载。
  • 将 Sysmon 升级至 v14 版本,并更新了最新的 SwiftOnSecurity Sysmon-Config 配置
  • 将 Velociraptor 升级至 v6.5.2 版本

8/4/22:更新了适用于 Active Directory 构建的 Sentinel 实验室 + 将 Sysmon 和安全日志发送到 Sentinel!

构建一个 Azure Sentinel 实验室,可选择将 Windows 10 的 Sysmon 和安全日志发送到 Sentinel Log Analytics 工作区。还可选择构建带有域加入功能的 Active Directory。

8/2/22:新增了一个 Terraform 生成器:钓鱼应用程序

您可以快速部署一个多租户 Azure Ad 应用程序,用于应用程序许可钓鱼模拟。它会自动配置典型的 API 许可权限,例如读取电子邮件和文件,同时也可根据您的需求自定义任何受支持的权限。

7/18/22:新增了三个 Terraform 生成器:Azure Sentinel、Azure 存储、Azure 托管标识

为不同使用场景创建了三个新的安全实验室。您可以快速部署一个 Azure Sentinel 安全实验室、一个包含文件共享、容器、Blob 和示例文件的 Azure 存储账户(其中还包括一个带有资源的 Azure Key Vault),或者创建一个用于攻击性操作和网络防御者的 Azure 托管标识安全实验室。有关更多详细信息,请参阅完整文档。

5/13/22:添加了服务主体滥用攻击原语的可选支持

增加了动态添加一些服务主体滥用攻击原语的支持。这包括动态地将应用程序管理员添加到随机 Azure AD 用户(-aa)、将特权角色管理员添加到随机应用程序 SP(-pra),以及将全局管理员角色目标添加到随机应用程序 SP(-ga)。有关更多信息,请参见下面的 azure_ad.py 使用示例。我们还在 attack_scripts 目录中添加了针对服务主体滥用场景的攻击脚本。

2022年2月14日:情人节更新:Python Terraform生成器

PurpleCloud迎来更新!我们推出了使用Python编写的Terraform生成器。不再提供需要手动编辑的Terraform模板,而是以Python Terraform生成器作为起点。Python脚本将根据用户输入创建自定义的Terraform文件。原有的Terraform模板文件已移至存档。

项目介绍

A little tool to play with Azure Identity - Azure and Entra ID lab creation tool. Blog: https://medium.com/@iknowjason/sentinel-for-purple-teaming-183b7df7a2f4

定制我的领域