tl;dr
Sentinel部署很简单!尤其是使用Azure Sentinel To-Go工具时。我们将通过部署Sentinel To-Go并执行Cobalt Strike信标来进行威胁研究。
项目链接:https://github.com/OTRF/Azure-Sentinel2Go
背景
Roberto(Cyb3rWarD0g)和OTRF团队为安全社区贡献了大量资源:终端安全研究、HELK、Mordor、OSSEM等项目,以及这个Sentinel快捷部署方案。在此特别感谢他们的卓越工作。
实战部署
本次研究将聚焦云安全场景。我们采用OTRF开发的Azure资源管理器模板,快速部署包含以下组件的环境:
- Azure Sentinel工作区
- 域控制器(DC)虚拟机
- 工作站(WS)虚拟机
部署步骤
-
在Azure门户和Sentinel To-Go仓库打开两个浏览器标签页
-
选择"AZ Sentinel + WS + DC"构建方案
-
配置资源组(示例使用已有资源组)
-
设置用户访问权限
-
配置系统/域/事件日志收集级别(建议选择"All"获取完整数据)
-
使用默认Ubuntu SKU配置
-
确认部署(成本约1-3美元/次,测试运行花费1.53美元)
威胁狩猎
部署完成后:
- 在Sentinel工作区点击"Hunting"导航面板
- 使用预置查询"Least Common Parent and Child Process Pairs"检测Cobalt Strike活动
- 发现横向移动证据:
- 通过cmd执行ipconfig
- 服务启动次级信标
- rundll32生成额外信标
其他有价值的IoC查询:
- “PowerShell Downloads”:检测非常规PowerShell调用
- “Encoded Commands”:捕获可疑编码命令执行
技术总结
- Azure Sentinel可收集终端Sysmon、Security、PowerShell和WMI日志
- Sentinel To-Go是学习Sentinel仪表板和日志关联分析的理想起点
- 部分检测规则可能被攻击者通过命名修改规避,但核心检测机制仍具挑战性
本次威胁狩猎成本:1.53美元