使用Cyb3rWard0g的Sentinel To-Go快速部署Azure Sentinel——捕获Cobalt Strike攻击!

背景

Roberto(Cyb3rWarD0g)和OTRF团队为安全社区贡献了HELK、Mordor、OSSEM等重量级项目。本次我们将基于其开发的Azure Sentinel To-Go模板,快速构建云安全检测环境。

部署准备

  1. 登录Azure门户:https://portal.azure.com
  2. 访问GitHub仓库:https://github.com/OTRF/Azure-Sentinel2Go
  3. 选择"AZ Sentinel + WS + DC"构建方案

关键配置步骤

  • 资源组:使用预存在资源组
  • 日志收集:选择"All"级别采集所有日志
  • 成本控制:实验环境每小时费用约1-3美元(实测单次运行$2.21)

威胁狩猎实战

  1. 植入Cobalt Strike信标

    • 在工作站建立初始信标
    • 通过ipconfig探测网络
    • 使用psexec64进行横向移动

  2. 检测恶意活动

    • 使用预置查询"Least Common Parent and Child Process Pairs"
    • 发现横向移动痕迹:
      • cmd启动ipconfig
      • services加载次级信标
      • rundll32生成新信标
    • 其他IoC:
      • "PowerShell Downloads"异常调用
      • "Encoded Commands"编码指令

技术价值

  • 端点日志集成:可收集Sysmon/安全/PowerShell/WMI日志
  • 即用型检测:预置50+威胁狩猎查询
  • 成本效益:单次实验仅耗资$1.53

提示:通过修改进程命名等方式可能规避部分检测,但核心行为特征仍难隐藏。保持持续狩猎才能有效防御。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-08-18 12:01  qife  阅读(9)  评论(0)    收藏  举报