Professional Documents
Culture Documents
Connect to the Linux host using SSH and execute different commands (eg. date, df -h)
Check the shell and network events in the Deception Director
Use an EQL query to show all the network events (network where true)
Check alerts and notifications created as a result of threat actor activity in the deception environment
Review the Threat Actor Database and use a threat actor IOC to check its detection.eg: execute 'curl http://X.X.X.X and check
IOC enrichment:
Review a network event connecting to a public IP address and check its metadata (country, AS number,
etc.)
Provide CTI with context based on MITRE ATT&CK/ENGAGE Framework and NIST 800-53
Review the ATT&CK TTPs mapped after executing 'Get-Process' in a Windows through RDP
Incident Management
Create an incident with relevant events
Inside the incident check the timeline, ATT&CK mapping, etc.
Caldera testing
Execute the Caldera script with the Adversary named 'XXXX External Use Case' and check the events
and notifications. It will automatically execute different TTPs, generating the corresponding notifications in
the DeceptionDirector
SOC Integration
Review the list of integrations
Miscellaneous
Audit: review the campaign logbook and check all the actions are logged
(Optional): review the admin database audit - the admin logbook
Generate real time alerts, events, and notifications as a result of threat actor activity
Connect to a Deception Host via rdp or ssh
Add a new rule to send a notification to the console if the command is used.
Add a new action to execute the command 'msg * 'Command Executed' if the command is used.
1. Connect to the VPN SSL Web (http://X.X.X.X) and check the HTTPRequest events
2. Try to login and capture the username and password from the HTTPRequest events
3. Connect to the FTP as anonymous (ftp://X.X.X.X) in passive mode and list the files - check the
FTPRequest events
Status Notes
Deployed a Windows Server 2019 and a Ubuntu
-
22.04
- Deployed RDP, SSH, FTP, VPN SSL
- Created Document and Custom breadcrumbs
Status Notes
Status Notes
We connected via RDP to the Windows deception
host. We looked at the event data captured, in this
example we used "Get-Process" and list users on the
machine, showing the commands in the ShellLine
-
window and the linked event data, TTPs (Command
Scripting Interpreter and Process Discovery). We also
looked at related process tree and commands related
to the login session_ID.
Status Notes
- We created an incident for the Windows Server
We looked at the automatically generated timeline,
-
TTP and IoC mapping
Exported the incident to a PDF file, containing all the
incident data.
Also discussed how this can be exported via STIX2
-
or other protocols. We showed how incidents can add
new data to the incident and it will be automatically
updated.
Status Notes
Showed how to access Caldera; use hosts, abilities,
attacker profiles (adversaries), and operations -
including predefined adversaries such as the Noisy
- Neighbour, and how to add new TTPs to customise
the attack behaviour.
We then ran a test attack against the Linux deception
host.
Status Notes
We showed the SIEM / SOAR / Messaging / Jira /
-
Teams integrations within the Deception Platform
We described this process, but we did not link to a
-
live SIEM
Status Notes
We showed how all operator commands within the
-
Deception Director are logged.
- We did not show this feature.
Described the detailed user permissions schema
- providing full RBAC control. We also looked at user
settings including 2FA
- We showed the use of Tenants.
Showed the User Guide documentation available
-
within the platform.
Showed the API documentation available within the
-
platform.
Created Blacklist to block events related to Windows
Update.
-
Created blacklist to block events related to
connections to x.x.x.x on port 8080
Status Notes
- Opened a web shell to the Windows deception host
Opened a GUI file browser to the Linux deception
-
host
Status Notes
We ran both manual and Caldera automated tests
for this section.
-
Showed attempted login to SSL VPN service, the
SSL certificate and showed the HTTP request event
data in the Data Explorer
Attempted to log in with random credentials (ahmed
-
&& potato)
Attempted to log in to FTP service, and showed
pocket litter files that add credibility AND the
-
breadcrumb "oracle_host.rdp" and showed the
username, password and IP address.
- Downloaded the file from the ftp service
Used the credentials from the downloaded file to
-
access the Windows server using RDP
We opened a PowerShell and ran "Get-Process"
-
command
We then followed the previous actions through the
notifications and exampined the related events and
showed the TTPs and IoCs. We also showed how
-
events are related to the deception services, and you
can access the related event from the Mitre ATT&CK
viewer.
We created an incident, collecting the relevant
-
events.
Criterios de éxito y pruebas
Crear un entorno de engaño creíble para despistar a los posibles actores de la amenaza Estado
Despliegue de Deception Hosts en el entorno alojado de CounterCraft -
Despliegue de diferentes servicios de engaño -
Crear diferentes breadcrumbs -
Conéctese al host Linux mediante SSH y ejecute diferentes comandos (p. ej. date, df -h)
-
Comprueba los eventos de shell y de red en el Deception Director
Utilizar una consulta EQL para mostrar todos los eventos de red (network where true) -
Comprobar las alertas y notificaciones creadas como resultado de la actividad de los actores
-
de amenazas en el entorno de engaño.
Buscar todos los eventos que contengan un texto o una dirección IP específicos -
Revise la base de datos de actores de amenazas y utilice un IOC de actores de amenazas para comprobar
- su detección.Ej: ej
Revisa las TTPs ATT&CK mapeadas tras ejecutar 'Get-Process' en un Windows a través de
-
RDP
Ejecuta el script de Caldera con el Adversario llamado 'XXXX Caso de Uso Externo' y
comprueba los eventos y notificaciones. Ejecutará automáticamente diferentes TTPs, -
generando las correspondientes notificaciones en el DeceptionDirector
Miscellaneous Estado
Auditoría: revisar el diario de campaña y comprobar que todas las acciones están registradas. -
(Opcional): revisar la auditoría de la base de datos del administrador - logbook del
-
administrador
RBAC: revisar los permisos de campaña y de inquilino -
Multiarrendatario: crear un arrendatario vacío con una campaña vacía -
Revisar la Guía del usuario -
Revisar la documentación de la API -
Revisar los mecanismos para lograr cero falsos positivos - Listas negras -
Añadir una nueva acción para ejecutar el comando 'msg * 'Comando Ejecutado' si se
-
utiliza el comando.
Notas
Desplegado un Windows Server 2019 y un Ubuntu 22.04
Despliegue RDP, SSH, FTP, VPN SSL
Documento creado y breadcrumbs personalizadas
Notas
Nos conectamos al host Linux interno usando ssh. Vimos la notificación de Inicio de Sesión Válido y los
comandos asociados que se ejecutaron. Vimos datos de eventos y correlación ATT&CK de MITRE y
notificaciones en tiempo real. También vimos comandos de línea shell y TTPs. Vimos bajo el capó el
proceso de un ping, con consulta DNS, conexiones IPv4 e IPv6, tanto como datos de eventos enriquecidos
como telemetría sin procesar.
Utilizó la consulta EQL "network where event='DNSQuery' para identificar las consultas DSN activadas
desde el host de engaño, y también para mostrar sólo las consultas DNS únicas. También vio la función de
búsqueda de texto completo para buscar una dirección IP específica. Usó Data Sources para guardar una
búsqueda EQL.
Exploramos las reglas para crear notificaciones y el uso de estranguladores para limitar notificaciones
similares.
Vimos un evento create_process para mostrar observables, (IoCs) y captura binaria, con la opción de
descargar el binario. Mostramos cómo se utiliza un session_ID para registrar la actividad del adversario a lo
largo de su sesión.
Búsqueda de una dirección IP específica con la función Búsqueda de texto completo.
Examinamos la base de datos de actores de amenazas, que muestra información sobre actores de
amenazas y sus técnicas, TTP y relación con MITRE Engage y sus IoC. También examinamos las reglas
de comportamiento para alertar sobre la actividad de los actores de amenazas.
Se ejecutó un comando curl a una dirección IP relacionada con un actor de amenazas conocido (APT28),
mostrando la creación de procesos y el evento CreateConnection etiquetado con el ID del actor de
amenazas.
Mostramos el enriquecimiento de los datos de localización, ASN para la dirección IP utilizada en la prueba
anterior (en Canadá). También se observó otra conexión a la actualización de Windows en los EAU a
través de Edgio. Inc.
Notas
Nos conectamos vía RDP al host de engaño de Windows. Miramos los datos de eventos capturados, en
este ejemplo usamos "Get-Process" y listamos los usuarios en la máquina, mostrando los comandos en la
ventana ShellLine y los datos de eventos vinculados, TTPs (Command Scripting Interpreter y Process
Discovery). También miramos el árbol de procesos relacionados y los comandos relacionados con el login
session_ID.
Mostramos la correlación Mitre Engage y NIST 800-53 para ver los controles relacionados con las TTP
observadas necesarias para mitigar el riesgo.
Notas
Creamos un incidente para Windows Server
Nos fijamos en la línea de tiempo generada automáticamente, TTP y mapeo IoC
Exportación del incidente a un archivo PDF, que contiene todos los datos del incidente.
También discutimos cómo esto puede ser exportado vía STIX2 u otros protocolos. Mostramos cómo los
incidentes pueden añadir nuevos datos al incidente y se actualizará automáticamente.
Notas
Se mostró cómo acceder a Caldera; utilizar hosts, habilidades, perfiles de atacante (adversarios) y
operaciones - incluyendo adversarios predefinidos como el Vecino Ruidoso, y cómo añadir nuevos TTPs
para personalizar el comportamiento del ataque.
A continuación, ejecutamos un ataque de prueba contra el host de engaño Linux.
Notas
Mostramos las integraciones SIEM / SOAR / Mensajería / Jira / Teams dentro de la Plataforma Deception
Hemos descrito este proceso, pero no lo hemos vinculado a un SIEM activo.
Notas
Mostramos cómo se registran todos los comandos del operador dentro del Director de Decepción
Notas
Abrió un shell web al host de engaño de Windows
Abrió un explorador de archivos GUI en el host de engaño Linux
Ejecutamos el comando 'winver' en el host de engaño de windows e identificamos el evento winver y lo
usamos para crear una regla para crear una notificación.
Añadimos la función "Ejecutar Comando" a la regla para ejecutar el comando "msg" si se ejecutaba el
comando winver. Una vez procesada la regla, ejecutamos el comando winver y recibimos un mensaje
emergente en pantalla y también la notificación específica en la consola del CounterCraft Deception
Director.
Notas
Ejecutamos pruebas manuales y automatizadas de Caldera para esta sección.
Mostró el intento de inicio de sesión en el servicio VPN SSL, el certificado SSL y mostró los datos de
eventos de solicitud HTTP en el Explorador de datos.