使用 Cyb3rWard0g 的 Sentinel To-Go 快速部署 Azure Sentinel——捕获 Cobalt Strike 攻击！

背景

Roberto（Cyb3rWarD0g）和 OTRF 团队为安全社区贡献了 HELK、Mordor、OSSEM 等重量级项目。本次我们将基于其开发的 Azure Sentinel To-Go 模板，快速构建云安全检测环境。

部署准备

1. 登录 Azure 门户：https://portal.azure.com
   

2. 访问 GitHub 仓库：https://github.com/OTRF/Azure-Sentinel2Go
   

3. 选择"AZ Sentinel + WS + DC"构建方案

关键配置步骤

• 资源组：使用预存在资源组

• 日志收集：选择"All"级别采集所有日志

• 成本控制：实验环境每小时费用约 1-3 美元（实测单次运行 $2.21）

威胁狩猎实战

1. 植入 Cobalt Strike 信标：

2. 在工作站建立初始信标

3. 通过ipconfig探测网络

4. 使用psexec64进行横向移动

5. 检测恶意活动：

6. 使用预置查询"Least Common Parent and Child Process Pairs"

7. 发现横向移动痕迹：

8. cmd启动ipconfig
   

9. services加载次级信标

10. rundll32生成新信标

11. 其他 IoC：

12. "PowerShell Downloads"异常调用

13. "Encoded Commands"编码指令

技术价值

• 端点日志集成：可收集 Sysmon/安全/PowerShell/WMI 日志

• 即用型检测：预置 50+威胁狩猎查询

• 成本效益：单次实验仅耗资 $1.53

提示：通过修改进程命名等方式可能规避部分检测，但核心行为特征仍难隐藏。保持持续狩猎才能有效防御。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手