Azure Red Team Attack and Detect Workshop

これは設計上脆弱なAzureラボであり、一般的な設定ミスを伴う2つの攻撃パスが含まれています。これらの脆弱性は、実稼働環境で見られる脆弱性を代表することを目的としており、攻撃ベクトルは、実際の脅威アクターTTPに対して可能な限り現実的であることが意図されています。これらの攻撃パスベクトルが引き起こしている検出とアラートを確認したい場合は、Microsoft DefenderforCloudとAzureADプレミアムP2プランを備えたMicrosoftE5トライアルにサインアップすることをお勧めします。Azure Developerアカウントにサインアップするためのリンクは、resources.txtファイルにあります。

各キルチェーンのフォルダーには、Terraformスクリプト（および展開に必要なその他の前提条件ファイル）と、課題の解決策があります。

要件

• Azureテナント
• AzureCLI
• Terafformバージョン1.2.2以降
• AADテナントでグローバル管理者の役割を持つAzureユーザー
• kc1.tfの248〜249行目に外部IPを追加します

展開

az login
git clone https://github.com/mandiant/Azure_Workshop.git
cd Azure_Workshop
cd kc1

terraform init
terraform validate

terraform plan -out kc1.tfplan
terraform apply kc1.tfplan

cd ../kc2

terraform init
terraform validate

terraform plan -out kc2.tfplan
terraform apply kc2.tfplan

始めましょう

• 各キルチェーンのエントリポイントはuser1です。最初のユーザーの資格情報を取得するには、次のクエリを実行します。

terraform output

キルチェーンの目標とその他のリソース

キルチェーン＃1：

• 目的：顧客のPIIデータにアクセスします。

• ソリューション：完全な攻撃パスソリューションは、kc1/kc1_solution.txtにあります。

キルチェーン＃2：

• 目的：スーパーシークレットファイルにアクセスします。

• ソリューション：完全な攻撃パスソリューションは、kc2/kc2_solution.txtにあります。

詳細については、他のリソースや役立つリンクがresources.txtファイルにあります。

掃除

各キルチェーンシナリオを終了した後、テナントに以前に追加されたすべてのリソースを削除できます。

az login

cd kc1
terraform destroy

cd ../kc2
terraform destroy