Kom igång med DetectionLab

Om det finns något jag gillar så är det när det kommer verktyg som underlättar min vardag. Nuförtiden så kan jag inte leva utan Docker, Vagrant, Virtualbox och Burp Suite för att nämna några.

Och jag gillar även att labba och testa och dagens tips som jag tänkte skriva om heter DetectionLab. Det är en miljö som är färdiguppsatt för dig som vill testa dina förmågor att upptäcka intrång eller utveckla olika Threat Hunting-koncept.

Miljön kommer installerad med följande mjukvaror:

• Microsoft Advanced Threat Analytics (https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics) är installerad på WEF klienten, och med en lightweight ATA gateway installerad på DC
• Splunk forwarders är installerat och index är skapade. Technology add-ons för Windows är för-konfigurerat.
• En särskild Windows auditing-konfiguration skickas ut via en GPO för att göra command line process auditing och även andra OS-loggningar
• Palantir’s Windows Event Forwarding 
• Powershell transcript logging är på. Loggarnas sparas till \\wef\pslogs
• osquery är färdiginstallerat samt så är TLS konfigurerat att prata med Fleet. Använder sig även av Palantir’s osquery Configuration
• Sysmon är installerat och använder SwiftOnSecuritys konfiguration
• Alla autostart-händelser loggas via Windows Event Logs. Använder AutorunsToWinEventLog
• SMBv1 Auditing är påslaget

Miljön kräver Virtualbox eller VMware Fusion/Workstation, Packer, Vagrant och minst 16GB ram samt minimum 55GB diskutrymme.

Observera att det kan ta lång tid att bygga miljön, åtskilliga timmar får du nog räkna med.

Här hittar du DetectionLab:

https://github.com/clong/DetectionLab

Du kan även bygga miljön hos Amazon med hjälp av Terraform, och då tar det runt 25 minuter. Se video:

Uppdatering 1:a Juni 2020 från DetectionLab på twitter:

Updated the Splunk Dashboard to include Sysmon Events, License Usage, and @jackcr 's awesome Beacon Hunting query! pic.twitter.com/ExmaVd8HvQ

— DetectionLab (@DetectionLab) June 1, 2020