Automatización de la emulación de adversarios con Atomic Red Team (ART), Sysmon y Splunk Parte III: Incident Response En esta última entrega abordaremos configuración del Splunk SOAR de nuestro laboratorio y la implementación de un playbook. En los playbooks se definen los pasos que se deben seguir para detectar, investigar y responder a incidentes de seguridad de forma eficiente y sistemática. Siguiendo con las comparaciones, podríamos decir que se trata de una receta que detalla qué herramientas usar, en qué órden y cómo para resolver un problema específico… Read More
Automatización de la emulación de adversarios con Atomic Red Team (ART), Sysmon y Splunk Parte II: Detección con Splunk y Simulación con Atomic Red Team En esta segunda entrega de la serie, abordaremos la emulación y detección del volcado del credenciales. Para ello, utilizaremos la instancia de Splunk Enterprise a modo de SIEM e implementaremos una regla específica para la identificación de eventos que nos sugieran este tipo de ataque. Posteriormente realizaremos una prueba atómica a través de la utilidad Invoke de Atomic Red Team que nos permitirá emular el acceso a la memoria a través del proceso LSASS para el volcado de credenciales. … Read More
Automatización de la emulación de adversarios con Atomic Red Team (ART), Sysmon y Splunk Parte I: Configuración de la arquitectura La emulación de adversarios es un ejercicio de seguridad ofensiva en el que se busca imitar las técnicas utilizadas por los atacantes. El objetivo principal es evaluar si una organización tiene la visibilidad necesaria para detectar, responder y mitigar un ataque similar al que podría llevar a cabo un adversario real pudiendo evaluar de esta forma la resiliencia ante amenazas cibernéticas… Read More