========================================= Purple Dome - Kein Schwein greift mich an ========================================= .. This toctree is only to link examples. .. toctree:: :glob: :hidden: Kein Schwein greif mich an ========================== Habe mir gerade einen neuen Event Logger auf meinem Server installiert. Die Log Details hochgedreht... und jetzt greift mich keiner an. Keine Ahnung ob die Sensoren tun ? ---------------------------------- Wir überhaupt mitgelogged was wichtig ist ? Daten habe ich jetzt ....aber Erkennungslogik ? ----------------------------------------------- Nach was greppe ich denn nun in den Logs ? Viel gemacht aber alles ungetestet ================================== Die einzige Lösung: Ein Angreifer muss her. Vielleicht nicht auf mein Produktivsystem. Simulierte Angriffe =================== Purple Dome erlaubt es, Angriffe zu simulieren. Scriptbar und als Python Pluins Metasploit ---------- Caldera ------- Kali Linux commandline ---------------------- Simulierte Ziele ================ Die Angriffe gehen nicht auf das Produktivsystem, sondern auf VM targets Sensoren nach Wunsch ==================== Welche Sensoren auf den Targets laufen kann man per config und Plugin definieren Vulnerabilities nach Wunsch =========================== Damit die Angriffe auch etwas Schaden hinterlassen, kann man per Plugins auch erst mal Vulnerabilities auf den Targets installieren. Targets nach Wunsch =================== Erzeugt mittels Vagrant oder als bestehende VM Wie das Ganze dann aussieht =========================== Resultat: PDF ------------- Resultat: Sensordaten --------------------- Resultat: Angriffsdaten ----------------------- Input: Commandline ------------------ Input: Config ------------- Wo kann ich PurpleDome kaufen ? =============================== Gar nicht. Ist kostenlos und Open Source https://github.com/avast/PurpleDome Bitte forken. Jetzt. Fragen ? Origin story ------------ * Sensoren eines Behaviour Blockers müssen mit jedem OS update neu getestet werden * Jeder neue Angriff muss verifiziert werden... Also wurde automatisiert.