Siber güvenlik profesyonelleri için önemli bir adımda Purpelab, algılama kuralları oluşturmak ve test etmek, günlükleri simüle etmek ve kötü amaçlı yazılım testlerini çalıştırmak için yenilikçi bir açık kaynaklı siber güvenlik laboratuvarı sunar.
Hepsi bir arada bir laboratuvar ortamı olarak tasarlanan Purplelab, analistleri, deney için kum havuzlu bir alan sağlarken tehdit algılama yeteneklerini geliştirmek için araçlarla donatır.
Purpelab nedir?
Purplelab, analistleri tespit kurallarını test etmek ve gerçek dünyadaki siber tehditleri simüle etmek için çeşitli araç ve teknolojileri entegre eden bir siber güvenlik laboratuvarıdır.
Platform bir web arayüzü, adli araçlar, bir şişe arka uç, MySQL veritabanı ve bir elasticsearch sunucusu ile önceden yüklenmiş bir Windows 10 Sanal Makine (VM) içerir. Birincil amacı, tehdit avı ve olay tepkisi sürecini kolaylaştırmaktır.
Anahtar Özellikler
- Web Arayüzü: Özellikleri yönetmek için kullanıcı dostu bir kontrol paneli.
- Windows 10 VM: Adli araçlar ve atomik kırmızı ekip modülleri ile önceden yapılandırılmıştır.
- Log simülasyonu: Analiz için gerçekçi trafik günlükleri üretir.
- Kötü amaçlı yazılım testi: Kontrollü bir ortamda yürütme için kötü amaçlı yazılım örneklerini indirir veya yükler.
- Siems ile entegrasyon: Günlük analizi için elk yığın yapılandırmasını destekler.
Splunk için Purplelab Entegrasyon Uygulaması
Ta-Purpelab-Splunk Güvenlik ekiplerinin Splunk kullanarak tehditleri algılaması, analiz etmesi ve simüle etmesi için tasarlanmış ücretsiz, hepsi bir arada bir siber güvenlik laboratuvarıdır. Bu araç seti, güvenlik operasyonlarını geliştirmek için uygulamalı tehdit istihbaratı, günlük analizi ve SIEM özellikleri sağlar.
Eğitim, araştırma ve gerçek dünyadaki tehdit tespiti için mükemmel olan Ta-Purplelab-Splunk, ekiplere siber güvenlik savunmalarını verimli bir şekilde güçlendirmeleri için güç verir.
Kurulum işlemi
Purplelab’ı ayarlamak, ana makinede Ubuntu Server 22.04 ve donanım sanallaştırma etkinleştirilmesini gerektirir. Kullanıcılar depoyu GitHub’dan klonlayabilir ve yükleme komut dosyasını yürütebilir.
Kurulum işlemi, hesapların yapılandırılmasını, geyik yığınını entegre etmeyi ve günlük koleksiyonu için Windows VM’ye bağlanmayı içerir.
Ancak, kullanıcılar Purplelab’ın varsayılan olarak güvenlik için sertleştirilmediği konusunda uyarılır. Geliştiriciler, “Ek güvenlik önlemleri uygulamadan hassas ağlara bağlamayın” diye uyarıyor.
Sayfalar ve işlevler
Purpelab’ın arayüzü birkaç özel sayfaya ayrılmıştır:
- Ana sayfa: Olay sayımları ve tespit edilen MITER ATT & CK teknikleri gibi temel performans göstergelerini (KPI) görüntüler.
- Av sayfası: Kullanıcıları günlük analizi için Kibana’ya yönlendirir.
- Miter Bu & ck sayfası: Kullanıcıların Invoke-atom araçlarını kullanarak saldırı tekniklerini simüle etmelerini sağlar.
- Kötü amaçlı yazılım sayfası: Test için kötü amaçlı yazılım örneklerinin indirilmesini veya yüklenmesini sağlar.
- Günlük simülasyon sayfası: Gerçek dünya senaryolarını taklit etmek için güvenlik duvarı veya ubuntu günlükleri oluşturur.
- Kullanım vaka sayfası: Eğitim amacıyla önceden inşa edilmiş uzlaşma senaryoları sağlar.
- Sigma sayfası: Sigma kurallarını anahtar kelimelerle arar ve bunları Splunk veya Lucene sorgularına dönüştürür.
- Sağlık sayfası: Kibana, Logstash, VirtualBox ve şişe arka uç gibi sistem bileşenlerini izler.
Yönetici yetenekleri
Yöneticiler, merkezi kimlik doğrulaması için LDAP ayarlarını yapılandırabilir ve bileşenler arasında güvenli iletişim için API anahtarları oluşturabilir. Platform ayrıca özel uygulaması aracılığıyla Splunk ile sorunsuz entegrasyonu destekliyor.
Yük ve kullanmak için Purpelabkapsamlı bir siber güvenlik laboratuvarı, şu ayrıntılı adımları izleyin:
Kurulum işlemi
1. Gereksinimler
Kurulumdan önce, sisteminizin aşağıdaki kriterleri karşıladığından emin olun:
Donanım özellikleri:
- 200GB depolama
- 8 CPU Çekirdekleri
- 13GB RAM
- İşletim sistemi: Ubuntu Server 22.04’ün temiz bir kurulumu (Ubuntu 23.10 Python kütüphanesi sorunları nedeniyle desteklenmez).
- Donanım Sanallaştırma: BIOS/UEFI ayarlarınızda veya sanallaştırma yazılımınızda (örn. VMware veya VirtualBox) sanallaştırmayı etkinleştirin.
2. Depoyu indirin
Purplelab deposunu indirmek ve kurulum komut dosyasını taşımak için ev dizininizde aşağıdaki komutları çalıştırın:
git clone https://github.com/Krook9d/PurpleLab.git && mv PurpleLab/install.sh .3. Kurulumu Başlat
Kurulum komut dosyasını yürütün:
sudo bash install.shKurulum sırasında aşağıdakileri isteyecektir:
- Varsayılan elk yığınını yükleyip yüklemeyeceğinizi seçin (ilk kez kullanıcılar için önerilir).
- Uygulama için ağ arayüzünü seçin.
Önemli Notlar:
- Elk kurulumunu atlarsanız, kodu düzenlemediğiniz sürece PHP hataları ana sayfada görünebilir.
- Laboratuvar güvenlik için sertleşmez; Ek korumalar olmadan hassas ağlara bağlamaktan kaçının.
4. Hesapları yapılandırın
Kurulumdan Sonra:
- Bir tarayıcıdaki sunucunun IP adresini ziyaret edin.
- Bir kullanıcı hesabını ad, şifre (karmaşık olan minimum 8 karakter) ve avatar (<1MB boyutu) gibi ayrıntıları doldurarak kaydedin.
Bir yönetici hesabı varsayılan olarak oluşturulur ve kimlik bilgileri içinde saklanır admin.txt ev dizininizde.
Kurulum sonrası yapılandırma
1. Elk Yığın Kurulumu
Elasticsearch ve Kibana’yı yapılandırmak için sunucudaki aşağıdaki komutları çalıştırın:
sudo /usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token --scope kibanaJetonu Kibana’ya kopyalayın (“Avcılık” sayfası üzerinden erişilebilir). Bir doğrulama kodu için istendiğinde, şu şekilde oluşturun:
sudo /usr/share/kibana/bin/kibana-verification-codeGerekirse Elasticsearch’i yeniden başlatın:
service elasticsearch restart2. Windows VM Günlük Yapılandırması
- IP adresini kullanarak Windows VM’ye bağlanın (“Sağlık” sayfasında görünür).
- Düzenlemek
winlogbeats.ymlVM’de güncellenecek:
- Parola: “Elastik Yerleşik Süper Kullanıcı” şifresini kullanın
admin.txt. - IP Adresleri: Yer tutucuları elk sunucunuzun IP’siyle değiştirin.
- CA parmak izi: Purplelab sunucusunda şu şekilde oluşturun:
sudo openssl x509 -fingerprint -sha256 -in /etc/elasticsearch/certs/http_ca.crt | awk -F '=' '/Fingerprint/{print $2}' | tr -d ':'
- PowerShell komutlarını kullanarak WinLogbeat yapılandırmasını test edin ve ayarlayın.
- VM’yi yeniden başlatın ve “SnapShot1” adlı bir anlık görüntü alın:
sudo VBoxManage snapshot "sandbox" take "Snapshot1" --description "snapshot before the mess"Purplelab kullanma
1. Başlatma Hizmetleri
Purplelab’ın şişesi arka ucunu başlatın:
sudo python3 /home/$(logname)/app.pyVM’nin çalıştığından emin olun:
sudo VBoxManage startvm sandbox --type headlessAlternatif olarak, hizmetleri “sağlık sayfası” ndan yönetin.
2. Özellikleri keşfedin
Purplelab, farklı işlevler için birden fazla sayfa sağlar:
- Ana sayfa: KPI’ları olay sayımlarını ve tespit edilen MITER ATT & CK tekniklerini izleyin.
- Av sayfası: Günlük analizi için Kibana’ya yönlendirir.
- Miter Bu & ck sayfası: Invoke-atom araçlarını kullanarak saldırı tekniklerini simüle edin.
- Kötü amaçlı yazılım sayfası: Test için kötü amaçlı yazılım örneklerini indirin veya yükleyin.
- Günlük simülasyon sayfası: Analiz için günlükler (örn. Güvenlik duvarı) oluşturun.
- Kullanım vaka sayfası: Önceden tanımlanmış uzlaşma senaryolarını yürütün.
- Sigma sayfası: Sigma kurallarını arayın ve Splunk veya Lucene sorgularına dönüştürün.
- Sağlık sayfası: Kaynakları izleyin ve Kibana ve VirtualBox gibi bileşenleri yönetin.
Bu adımları tamamlayarak, tespit kurallarını test etmek, saldırıları simüle etmek ve günlükleri etkili bir şekilde analiz etmek için Purpelab’ı bir siber güvenlik laboratuvarı olarak tam olarak yükleyebilir ve kullanabilirsiniz.
Siber güvenlik meraklıları için bir araç
Purplelab, tehdit tespiti ve yanıtında uygulamalı uygulama için erişilebilir bir platform sunarak siber güvenlik eğitiminde kritik bir boşluğu doldurur.
Kötü amaçlı yazılım yürütme, günlük simülasyonu ve MITER ATT & CK entegrasyonu gibi özelliklerle, analistlere becerilerini keskinleştirmek için değerli kaynaklar sağlar. Daha fazla bilgi veya Purplelab’ı indirmek için GitHub deposunu ziyaret edin.