Success criteria and tests

Create a credible deception environment to misdirect potential threat actors

Deploy Deception Hosts in the CounterCraft hosted environment

Deploy different Deception Services
Create different breadcrumbs

Capture relevant cyber threat intelligence(CTI) (TTPs, IOCs, and Telemetry)

Connect to the Linux host using SSH and execute different commands (eg. date, df -h)
Check the shell and network events in the Deception Director

Use an EQL query to show all the network events (network where true)

Check alerts and notifications created as a result of threat actor activity in the deception environment

Download the captured binary (IOC) from a CreateProcess event

Search all the events that contain a specific text or IP Address

Review the Threat Actor Database and use a threat actor IOC to check its detection.eg: execute 'curl http://X.X.X.X and check

IOC enrichment:
Review a network event connecting to a public IP address and check its metadata (country, AS number,
etc.)

Provide CTI with context based on MITRE ATT&CK/ENGAGE Framework and NIST 800-53
Review the ATT&CK TTPs mapped after executing 'Get-Process' in a Windows through RDP

Review the NIST 800-53 controls

Incident Management
Create an incident with relevant events
Inside the incident check the timeline, ATT&CK mapping, etc.

Export the incident to a PDF

Caldera testing

Execute the Caldera script with the Adversary named 'XXXX External Use Case' and check the events
and notifications. It will automatically execute different TTPs, generating the corresponding notifications in
the DeceptionDirector

SOC Integration
Review the list of integrations

(Optional) Integrate with a SIEM

Miscellaneous
Audit: review the campaign logbook and check all the actions are logged
(Optional): review the admin database audit - the admin logbook

RBAC: review the campaign and tenant permissions

Multi-tenant: create an empty tenant with an empty campaign

Review the User Guide

Review the API Documentation

Review mechanisms for achieving zero false positives – Blacklists

Generate real time alerts, events, and notifications as a result of threat actor activity
Connect to a Deception Host via rdp or ssh

Execute a basic command in a shell - such as ifconfig or ipconfig /all

Add a new rule to send a notification to the console if the command is used.

Add a new action to execute the command 'msg * 'Command Executed' if the command is used.

External Use Case tests (if required)

1. Connect to the VPN SSL Web (http://X.X.X.X) and check the HTTPRequest events

2. Try to login and capture the username and password from the HTTPRequest events

3. Connect to the FTP as anonymous (ftp://X.X.X.X) in passive mode and list the files - check the
FTPRequest events

4. Download the 'oracle_host.rdp' file - check there is a notification

5. Connect with the credentials inside the file to the Windows RDP (X.X.X.X) - check there are
notifications
6. Open a Powershell console and execute some commands - check the notifications (eg get-
systeminfo)

7. Browse and analyze all the collected TTPs

8. Create an Incident with all the relevant events

nd tests

Status Notes
Deployed a Windows Server 2019 and a Ubuntu
-
22.04
- Deployed RDP, SSH, FTP, VPN SSL
- Created Document and Custom breadcrumbs

Status Notes

We connected to the internal Linux host using ssh.

We saw the notification of Valid Login and associated
commands that were executed. Showing event data
and MITRE ATT&CK correlation and real-time
-
notifications. Also saw shell line commands and
TTPs. Saw under the hood process for a ping, with
DNS query, IPv4 and IPv6 connections, both as
enriched event data and raw telemetry.

Used EQL query "network where event='DNSQuery'

to identify DSN queries activated from the deception
host, and also to show only the unique DNS queries.
-
Also saw Full Text Search feature to search for a
specific IP address. Used Data Sources to save an
EQL search.

We explored rules for creating notifications, and use

-
of throttles to limit similar notifications.
Looked at a create_process event to show
observables, (IoCs) and binary capture, with the
- option to download the binary. We showed how a
session_ID is used to rack adversary activity
throughout their session.
Searched for a specific IP address with the Full Text
-
Search function.
We looked at the Threat Actor Database, showing
info on threat actor and their techniques, TTPs and
relation to MITRE Engage and their IoCs. ALso
looked at behaviour rules for alerting on threat actor
- activity.
Ran curl command to IP address related to known
threat actor (APT28), showing process creation and
then CreateConnection event tagged with threat actor
ID

We showed the enrichment of location data, ASN for

the IP address used in the previous test (in Canada).
-
Also looked at other connection to Windows update
in UAE via Edgio. Inc.

Status Notes
 We connected via RDP to the Windows deception
host. We looked at the event data captured, in this
example we used "Get-Process" and list users on the
machine, showing the commands in the ShellLine
-
window and the linked event data, TTPs (Command
Scripting Interpreter and Process Discovery). We also
looked at related process tree and commands related
to the login session_ID.

We showed the Mitre Engage and NIST 800-53

- correlation to see the controls related to the observed
TTPs necessary to mitigate the risk.

Status Notes
- We created an incident for the Windows Server
We looked at the automatically generated timeline,
-
TTP and IoC mapping
Exported the incident to a PDF file, containing all the
incident data.
Also discussed how this can be exported via STIX2
-
or other protocols. We showed how incidents can add
new data to the incident and it will be automatically
updated.

Status Notes
Showed how to access Caldera; use hosts, abilities,
attacker profiles (adversaries), and operations -
including predefined adversaries such as the Noisy
- Neighbour, and how to add new TTPs to customise
the attack behaviour.
We then ran a test attack against the Linux deception
host.

Status Notes
We showed the SIEM / SOAR / Messaging / Jira /
-
Teams integrations within the Deception Platform
We described this process, but we did not link to a
-
live SIEM

Status Notes
We showed how all operator commands within the
-
Deception Director are logged.
- We did not show this feature.
Described the detailed user permissions schema
- providing full RBAC control. We also looked at user
settings including 2FA
- We showed the use of Tenants.
Showed the User Guide documentation available
-
within the platform.
Showed the API documentation available within the
-
platform.
 Created Blacklist to block events related to Windows
Update.
-
Created blacklist to block events related to
connections to x.x.x.x on port 8080

Status Notes
- Opened a web shell to the Windows deception host
Opened a GUI file browser to the Linux deception
-
host

We executed the 'winver' command on the windows

- deception host and identified the winver event and
used it to create a rule to create a notification.

We added the "Execute Command" function to the

rule to execute the "msg" command if the winver
command was executed. Once the rule had been
- processed, we ran the winver command and received
a pop-up message on screen and also the specific
notification on the CounterCraft Deception Director
console.

Status Notes
We ran both manual and Caldera automated tests
for this section.
-
Showed attempted login to SSL VPN service, the
SSL certificate and showed the HTTP request event
data in the Data Explorer
Attempted to log in with random credentials (ahmed
-
&& potato)
Attempted to log in to FTP service, and showed
pocket litter files that add credibility AND the
-
breadcrumb "oracle_host.rdp" and showed the
username, password and IP address.
- Downloaded the file from the ftp service
Used the credentials from the downloaded file to
-
access the Windows server using RDP
We opened a PowerShell and ran "Get-Process"
-
command
We then followed the previous actions through the
notifications and exampined the related events and
showed the TTPs and IoCs. We also showed how
-
events are related to the deception services, and you
can access the related event from the Mitre ATT&CK
viewer.
We created an incident, collecting the relevant
-
events.
 Criterios de éxito y pruebas

Crear un entorno de engaño creíble para despistar a los posibles actores de la amenaza Estado
Despliegue de Deception Hosts en el entorno alojado de CounterCraft -
Despliegue de diferentes servicios de engaño -
Crear diferentes breadcrumbs -

Captura de información pertinente sobre ciberamenazas (TTP, IOC y telemetría) Estado

Conéctese al host Linux mediante SSH y ejecute diferentes comandos (p. ej. date, df -h)
-
Comprueba los eventos de shell y de red en el Deception Director

Utilizar una consulta EQL para mostrar todos los eventos de red (network where true) -

Comprobar las alertas y notificaciones creadas como resultado de la actividad de los actores
-
de amenazas en el entorno de engaño.

Descargar el binario capturado (IOC) desde un evento CreateProcess -

Buscar todos los eventos que contengan un texto o una dirección IP específicos -

Revise la base de datos de actores de amenazas y utilice un IOC de actores de amenazas para comprobar
- su detección.Ej: ej

Enriquecimiento del OIC:

Revisar un evento de red que se conecta a una dirección IP pública y comprobar sus -
metadatos (país, número AS, etc.)

Proporcionar a la CTI un contexto basado en el marco ATT&CK/ENGAGE de MITRE y

Estado
NIST 800-53.

Revisa las TTPs ATT&CK mapeadas tras ejecutar 'Get-Process' en un Windows a través de
-
RDP

Revisar los controles NIST 800-53 -

Gestión de incidentes Estado

Crear un incidente con eventos relevantes -
Dentro del incidente, compruebe la línea de tiempo, la cartografía ATT&CK, etc. -
Exportar el incidente a un PDF -

Pruebas de Caldera Estado

Ejecuta el script de Caldera con el Adversario llamado 'XXXX Caso de Uso Externo' y
comprueba los eventos y notificaciones. Ejecutará automáticamente diferentes TTPs, -
generando las correspondientes notificaciones en el DeceptionDirector

SOC Integration Estado

Revisar la lista de integraciones -
(Opcional) Integración con un SIEM -

Miscellaneous Estado
Auditoría: revisar el diario de campaña y comprobar que todas las acciones están registradas. -
(Opcional): revisar la auditoría de la base de datos del administrador - logbook del
-
administrador
RBAC: revisar los permisos de campaña y de inquilino -
Multiarrendatario: crear un arrendatario vacío con una campaña vacía -
Revisar la Guía del usuario -
Revisar la documentación de la API -
Revisar los mecanismos para lograr cero falsos positivos - Listas negras -

Generar alertas, eventos y notificaciones en tiempo real como resultado de la actividad

Estado
de los actores de amenazas.
Conectarse a un host de engaño a través de rdp o ssh -
Ejecutar un comando básico en un shell - como ifconfig o ipconfig /all -
Añade una nueva regla para enviar una notificación a la consola si se utiliza el comando. -

Añadir una nueva acción para ejecutar el comando 'msg * 'Comando Ejecutado' si se
-
utiliza el comando.

Pruebas de casos de uso externos (si es necesario) Estado

1. Conéctese a la VPN SSL Web (http://X.X.X.X) y compruebe los eventos HTTPRequest -

2. Intente iniciar sesión y capture el nombre de usuario y la contraseña de los eventos

-
HTTPRequest
3. Conéctese al FTP como anónimo (ftp://X.X.X.X) en modo pasivo y liste los archivos -
-
compruebe los eventos FTPRequest
4. Descargue el archivo 'oracle_host.rdp' - compruebe que hay una notificación -
5. Conéctese con las credenciales dentro del archivo al RDP de Windows (X.X.X.X) -
-
compruebe que hay notificaciones
6. Abra una consola Powershell y ejecute algunos comandos - compruebe las notificaciones
-
(por ejemplo, get-systeminfo)
7. Examinar y analizar todos los TTP recopilados -

8. Crear un incidente con todos los eventos relevantes -

erios de éxito y pruebas

Notas
Desplegado un Windows Server 2019 y un Ubuntu 22.04
Despliegue RDP, SSH, FTP, VPN SSL
Documento creado y breadcrumbs personalizadas

Notas

Nos conectamos al host Linux interno usando ssh. Vimos la notificación de Inicio de Sesión Válido y los
comandos asociados que se ejecutaron. Vimos datos de eventos y correlación ATT&CK de MITRE y
notificaciones en tiempo real. También vimos comandos de línea shell y TTPs. Vimos bajo el capó el
proceso de un ping, con consulta DNS, conexiones IPv4 e IPv6, tanto como datos de eventos enriquecidos
como telemetría sin procesar.

Utilizó la consulta EQL "network where event='DNSQuery' para identificar las consultas DSN activadas
desde el host de engaño, y también para mostrar sólo las consultas DNS únicas. También vio la función de
búsqueda de texto completo para buscar una dirección IP específica. Usó Data Sources para guardar una
búsqueda EQL.
Exploramos las reglas para crear notificaciones y el uso de estranguladores para limitar notificaciones
similares.
Vimos un evento create_process para mostrar observables, (IoCs) y captura binaria, con la opción de
descargar el binario. Mostramos cómo se utiliza un session_ID para registrar la actividad del adversario a lo
largo de su sesión.
Búsqueda de una dirección IP específica con la función Búsqueda de texto completo.
Examinamos la base de datos de actores de amenazas, que muestra información sobre actores de
amenazas y sus técnicas, TTP y relación con MITRE Engage y sus IoC. También examinamos las reglas
de comportamiento para alertar sobre la actividad de los actores de amenazas.
Se ejecutó un comando curl a una dirección IP relacionada con un actor de amenazas conocido (APT28),
mostrando la creación de procesos y el evento CreateConnection etiquetado con el ID del actor de
amenazas.

Mostramos el enriquecimiento de los datos de localización, ASN para la dirección IP utilizada en la prueba
anterior (en Canadá). También se observó otra conexión a la actualización de Windows en los EAU a
través de Edgio. Inc.

Notas

Nos conectamos vía RDP al host de engaño de Windows. Miramos los datos de eventos capturados, en
este ejemplo usamos "Get-Process" y listamos los usuarios en la máquina, mostrando los comandos en la
ventana ShellLine y los datos de eventos vinculados, TTPs (Command Scripting Interpreter y Process
Discovery). También miramos el árbol de procesos relacionados y los comandos relacionados con el login
session_ID.

Mostramos la correlación Mitre Engage y NIST 800-53 para ver los controles relacionados con las TTP
observadas necesarias para mitigar el riesgo.

Notas
Creamos un incidente para Windows Server
Nos fijamos en la línea de tiempo generada automáticamente, TTP y mapeo IoC
Exportación del incidente a un archivo PDF, que contiene todos los datos del incidente.
También discutimos cómo esto puede ser exportado vía STIX2 u otros protocolos. Mostramos cómo los
incidentes pueden añadir nuevos datos al incidente y se actualizará automáticamente.

Notas
Se mostró cómo acceder a Caldera; utilizar hosts, habilidades, perfiles de atacante (adversarios) y
operaciones - incluyendo adversarios predefinidos como el Vecino Ruidoso, y cómo añadir nuevos TTPs
para personalizar el comportamiento del ataque.
A continuación, ejecutamos un ataque de prueba contra el host de engaño Linux.

Notas
Mostramos las integraciones SIEM / SOAR / Mensajería / Jira / Teams dentro de la Plataforma Deception
Hemos descrito este proceso, pero no lo hemos vinculado a un SIEM activo.

Notas
Mostramos cómo se registran todos los comandos del operador dentro del Director de Decepción

No mostramos esta característica.

Describimos el esquema detallado de permisos de usuario que proporciona un control RBAC completo.
También examinamos la configuración de los usuarios, incluida la 2FA
Mostramos el uso de Inquilinos.
Mostró la documentación de la Guía del usuario disponible en la plataforma.
Mostró la documentación de la API disponible en la plataforma.
Creada lista negra para bloquear eventos relacionados con Windows Update.
Creada lista negra para bloquear eventos relacionados con conexiones a x.x.x.x en el puerto 8080.

Notas
Abrió un shell web al host de engaño de Windows
Abrió un explorador de archivos GUI en el host de engaño Linux
Ejecutamos el comando 'winver' en el host de engaño de windows e identificamos el evento winver y lo
usamos para crear una regla para crear una notificación.
Añadimos la función "Ejecutar Comando" a la regla para ejecutar el comando "msg" si se ejecutaba el
comando winver. Una vez procesada la regla, ejecutamos el comando winver y recibimos un mensaje
emergente en pantalla y también la notificación específica en la consola del CounterCraft Deception
Director.

Notas
Ejecutamos pruebas manuales y automatizadas de Caldera para esta sección.

Mostró el intento de inicio de sesión en el servicio VPN SSL, el certificado SSL y mostró los datos de
eventos de solicitud HTTP en el Explorador de datos.

Se ha intentado iniciar sesión con credenciales aleatorias (ahmed && potato)

Intentó iniciar sesión en el servicio FTP, y mostró archivos de bolsillo camada que añadir credibilidad Y la
miga de pan "oracle_host.rdp" y mostró el nombre de usuario, contraseña y dirección IP.
Descargado el archivo desde el servicio ftp
Utilizó las credenciales del archivo descargado para acceder al servidor Windows mediante RDP

Abrimos un PowerShell y ejecutamos el comando "Get-Process

A continuación, seguimos las acciones anteriores a través de las notificaciones y examinamos los eventos
relacionados y mostramos los TTP y los IoC. También mostramos cómo se relacionan los eventos con los
servicios de engaño, y se puede acceder al evento relacionado desde el visor Mitre ATT&CK.

Creamos un incidente, recogiendo los eventos relevantes.