7
11

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

BlueTeamを勉強したいんじゃ!~LAB構築編~

Last updated at Posted at 2020-10-20

BlueTeamを勉強したいんじゃ!シリーズ

前回はまとめ記事を書いたので、今回はSecurityOnionとWindows10を使用したLABをの記事を書きます。どれくらい需要があるか分からないけど、シリーズとして色々と書いていきます。

LAB概要

図のようなLABを作成していきます。プレゼンテーション1.png

セキュリティオニオンとは

  • 侵入検知・エンドポイント監視などを目的に作られてディストリビューションです。先週の土曜日にバージョン2がリリースされました。
  • おもなコンポーネントは以下の図になります。

standalone.png

ツール概要

  • ELK Stack:可視化&ログ解析
  • Suricata:NIDS
  • Wazuh(OSSEC):HIDS
  • Sysmon:ログ強化
  • Zeek(Bro):NIDS
  • OSquery:エンドポイント調査

SecurityOnionのセットアップ

  1. ISOのダウンロード

  2. VMの設定

    • 最小構成はドキュメントで確認してください。
    • ゲストOSのバージョン:CentOS7(64ビット)
    • CPU:3core
    • メモリ:16GB
    • HDD:100GB
    • NIC:2つ(1つは管理用インターフェース、もう1つはスニッフィングインターフェイス)
    • スニッフィングインターフェイスの仮想スイッチとポートグループをPromiscuous modeに設定する。
    • スクリーンショット 2020-10-20 230811.png
  3. 初期設定(ユーザ作成)

    1. 「Do you wish to continme?」と聞かれるので「yes」を入力する。
    2. ユーザ名を入力する。
    3. パスワードを入力する。
    4. 再度パスワードを入力する。
    5. 「Initial Intall complete」と表示されたらEnterキーを押す。
  4. 詳細設定(Security Onion Setup)

    1. ここインストールする構成を選択する。(今回はSTANDALONEを選択)スクリーンショット 2020-10-17 120217.png

    2. 「STANDARD」を選択する。スクリーンショット 2020-10-17 120233.png

    3. 最小設定が4coreなので、怒られているが気にせず「Yes」を押す。スクリーンショット 2020-10-17 120247.png

    4. 「Automatic」を選択する。スクリーンショット 2020-10-17 120257.png

    5. Hostnameを入力する。スクリーンショット 2020-10-17 120307.png

    6. 管理用インターフェース用のNICを選択する。スクリーンショット 2020-10-17 120317.png

    7. 管理用インターフェースのIP設定を選択する。今回は「STATIC」を選択する。スクリーンショット 2020-10-17 120326.png

    8. IPアドレスを入力する。スクリーンショット 2020-10-17 120336.png

    9. サブネットを入力する。スクリーンショット 2020-10-17 120352.png

    10. ゲートウェイのIPを入力する。スクリーンショット 2020-10-17 120400.png

    11. DNS ServerのIPを入力する。スクリーンショット 2020-10-17 120413.png

    12. DNS Search domainを入力する。スクリーンショット 2020-10-17 120422.png

    13. スニッフィングインターフェイスを選択する。スクリーンショット 2020-10-17 120431.png

    14. LABのネットワークを入力する。スクリーンショット 2020-10-17 120448.png

    15. 「BASIC」を選択する。スクリーンショット 2020-10-17 120512.png

    16. 「Zeek」を選択する。スクリーンショット 2020-10-17 120522.png

    17. 「ETOPEN」を選択する。スクリーンショット 2020-10-17 120533.png

    18. 「OK」を入力する。スクリーンショット 2020-10-17 120546.png

    19. インストールするもの選択する。(今回は全部インストールする)スクリーンショット 2020-10-17 120557.png

    20. ログイン用のメールアドレスを入力する。スクリーンショット 2020-10-17 120605.png

    21. パスワードを入力する。スクリーンショット 2020-10-17 120725.png

    22. 再度パスワードを入力する。スクリーンショット 2020-10-17 120743.png

    23. Webインターフェースにアクセスする為の方法を選択する。(今回はIPを選択)スクリーンショット 2020-10-17 120756.png

    24. 「MANAGER」を選択する。スクリーンショット 2020-10-17 120807.png

    25. 「OK」を選択する。スクリーンショット 2020-10-17 120818.png

    26. ユーザ:soremote用のパスワードを入力する。スクリーンショット 2020-10-17 120832.png

    27. 再度パスワードを入力する。スクリーンショット 2020-10-17 120855.png

    28. 「Yes」を選択する。11.png

    29. 「BASIC」を選択する。スクリーンショット 2020-10-17 120912.png

    30. Zeek用のプロセッサ数「1」を入力する。スクリーンショット 2020-10-17 120920.png

    31. Suricata用のプロセッサ数「1」を入力する。スクリーンショット 2020-10-17 120928.png

    32. 「NODEBASIC」を選択する。スクリーンショット 2020-10-17 120939.png

    33. 「Yes」を選択する。スクリーンショット 2020-10-17 120949.png

    34. Webインターフェースにアクセスする端末のIPアドレスを入力する。スクリーンショット 2020-10-17 121014.png

    35. 「Yes」を選択する。スクリーンショット 2020-10-17 121025.png

    36. 「OK」を選択する。スクリーンショット 2020-10-17 123909.png

  5. デスクトップ環境のセットアップ

    1. 以下のコマンドを実行
sudo so-analyst-install

4. Firewallの設定

  1. 下記のコマンドを実行
sudo so-allow

 2. OSquery,WazuhをインストールするWindows10のIPを入力する

This program allows you to add a firewall rule to allow connections from a new IP address.

Choose the role for the IP or Range you would like to add

[a] - Analyst - ports 80/tcp and 443/tcp
[b] - Logstash Beat - port 5044/tcp
[o] - Osquery endpoint - port 8090/tcp
[s] - Syslog device - 514/tcp/udp
[w] - Wazuh agent - port 1514/tcp/udp
[p] - Wazuh API - port 55000/tcp
[r] - Wazuh registration service - 1515/tcp
Please enter your selection (a - analyst, b - beats, o - osquery, w - wazuh):

Windows10(やれら)

  1. ISOかOVAをダウンロードする
  2. VMを作成する
  3. MS Officeをインストールする。
  4. OSqueryのインストール
    1. WebインストールのダウンロードからOSqueryのインストーラーをダウンロードする。プレゼンテーション2.png

    2. 適当な方法でWin10にインストーラーを送る。

    3. インストーラーを実行する。

  5. Wazuhの準備(securityonion)
  • ホストのIPとagent名(任意)を登録する。

[seconion@securityonion ~]$ sudo docker exec -it so-wazuh /var/ossec/bin/manage_agents -a -n
[sudo] password for seconion:


  • Wazuh v3.13.1 Agent manager. *
  • The following options are available: *

(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:

  • Adding a new agent (use '\q' to return to the main menu).
    Please provide the following:
    • A name for the new agent: * The IP Address of the new agent: * An ID for the new agent[002]: Agent information:
      ID:002
      Name:windows10
      IP Address:192.168.1.86

Confirm adding it?(y/n): Agent added with ID 002.

manage_agents: Exiting.

- 次の以下のagent IDを確認する。

[seconion@securityonion ~]$ sudo docker exec -it so-wazuh /var/ossec/bin/manage_agents -l

Available agents:
ID: 001, Name: securityonion, IP: 192.168.1.63
ID: 002, Name: windows10, IP: 192.168.1.86


- Authentication keyを生成する

[seconion@securityonion ~]$ sudo docker exec -it so-wazuh /var/ossec/bin/manage_agents -e

Agent key information for '002' is:
MDAyIHdpbmRvd3MxMCAxOTIuMTY4LjEuODYgNzMwNzNlOGIzYjZlZTdmMGNiMjM1OWQ1YjY0Y2QwZDE4MTNhNTU3ZjYzODFjNTJhYjRmYjY4ZjIzM2VhOGVmZg==
[seconion@securityonion ~]$


5. Wazuhのインストール(Windows10)
  1. [ここ](https://documentation.wazuh.com/3.13/installation-guide/installing-wazuh-agent/windows/wazuh_agent_package_windows.html#wazuh-agent-package-windows)からwazuhのインストーラーをダウンロード&実行
  3. ManagerIPにSecurityOnionのIPアドレスをAuthentication key(長い文字)に生成したキーを入力する。
  4. 「SAVE」を押す。![スクリーンショット 2020-10-20 232412.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/509755/7aad2370-2cfb-81e6-a230-482571673ab2.png)
  5. 「Manage」→ 「Start」を押す。![スクリーンショット 2020-10-22 232133.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/509755/cb517c7d-429a-b0d3-3e9d-e0a47c27ae60.png)

6. Winlogbeatとsysmonのインストール

- 以下のURLからwinlogbeat(zip)、sysmon、symonコンフィグをダウンロードする。

Winlogbeats
https://www.elastic.co/jp/downloads/beats/winlogbeat

sysmon
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmonコンフィグ
https://gist.github.com/Cyb3rWard0g/136481552d8845e52962534d1a4b8664#file-startlogging-xml

  - sysmonのインストール

Sysmon64.exe accepteula -i my_sysmon_config.xml


  - Winlogbeatのディレクトリ展開

C:\Program Files に展開し、ディレクトリ名をwinlogbeat-からWinlogbeatに変更します。


- Powershellで以下のコマンドを実行

cd "C:\Program Files\winlogbeat"
Set-ExecutionPolicy Unrestricted
.\install-service-winlogbeat.ps1
Set-ExecutionPolicy Restricted
Start-Service -Name winlogbeat -PassThru
exit



## Windows10(攻撃)
1. ISOかOVAをダウンロードする
   - https://www.microsoft.com/ja-jp/evalcenter/evaluate-windows-10-enterprise
   - https://developer.microsoft.com/ja-jp/windows/downloads/virtual-machines/
2. VMを作成する
3. MS Officeをインストールする。
3. CommandoVMをインストールする。
   - https://github.com/fireeye/commando-vm
   - [README](https://github.com/fireeye/commando-vm#standard-install)に従いインストールする。
4. Covenant
   1. [.NET](https://dotnet.microsoft.com/download/dotnet-core/thank-you/sdk-3.1.403-windows-x64-installer)をダウンロードする。
   2. .NETのインストーラーを実行する。
   3. Gitのクライアント(適当なやつ)をインストールする。
   4. 以下のコマンドでリポジトリのコピーとbuildと実行。
      
      ```
      git clone --recurse-submodules https://github.com/cobbr/Covenant
      cd Covenant/Covenant 
      dotnet build
      dotnet run
      ```

## 次回:Covenantの攻撃をハンティング
7
11
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
7
11

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?