Azure_Workshop - これは設計上脆弱なAzureラボであり、一般的な設定ミスを伴う2つの攻撃パスが含まれています。

(NULL)

Created at: 2022-07-19 23:24:58
Language: HCL

Azure Red Team Attack and Detect Workshop

これは設計上脆弱なAzureラボであり、一般的な設定ミスを伴う2つの攻撃パスが含まれています。これらの脆弱性は、実稼働環境で見られる脆弱性を代表することを目的としており、攻撃ベクトルは、実際の脅威アクターTTPに対して可能な限り現実的であることが意図されています。これらの攻撃パスベクトルが引き起こしている検出とアラートを確認したい場合は、Microsoft DefenderforCloudとAzureADプレミアムP2プランを備えたMicrosoftE5トライアルにサインアップすることをお勧めします。Azure Developerアカウントにサインアップするためのリンクは、resources.txtファイルにあります。

各キルチェーンのフォルダーには、Terraformスクリプト(および展開に必要なその他の前提条件ファイル)と、課題の解決策があります。

要件

  • Azureテナント
  • AzureCLI
  • Terafformバージョン1.2.2以降
  • AADテナントでグローバル管理者の役割を持つAzureユーザー
  • kc1.tfの248〜249行目に外部IPを追加します

展開

az login
git clone https://github.com/mandiant/Azure_Workshop.git
cd Azure_Workshop
cd kc1

terraform init
terraform validate

terraform plan -out kc1.tfplan
terraform apply kc1.tfplan

cd ../kc2

terraform init
terraform validate

terraform plan -out kc2.tfplan
terraform apply kc2.tfplan

始めましょう

  • 各キルチェーンのエントリポイントはuser1です。最初のユーザーの資格情報を取得するには、次のクエリを実行します。
terraform output

キルチェーンの目標とその他のリソース

キルチェーン#1:

  • 目的:顧客のPIIデータにアクセスします。

  • ソリューション:完全な攻撃パスソリューションは、kc1/kc1_solution.txtにあります。

キルチェーン#2:

  • 目的:スーパーシークレットファイルにアクセスします。

  • ソリューション:完全な攻撃パスソリューションは、kc2/kc2_solution.txtにあります。

詳細については、他のリソースや役立つリンクがresources.txtファイルにあります。

掃除

各キルチェーンシナリオを終了した後、テナントに以前に追加されたすべてのリソースを削除できます。

az login

cd kc1
terraform destroy

cd ../kc2
terraform destroy