Pro sledování kampaní Red team a Blue team v rámci Purple teaming, jejich hodnocení, a především pak pro hodnocení připravenosti samotných procesů, lidí a nástrojů je velmi důležité veškeré související činnosti dokumentovat. Právě k tomuto účelu slouží nástroj VECTR od společnosti SRA. Nicméně jak poznáte později nejde pouze jenom o pasivní tool zaznamenávající postup vašich týmů, ale jde také o postupně rozvíjející se automatizovaný test framework (ač je zatím v plenkách).

 

Instalace a následné nastavení nástroje VECTR je velmi jednoduché a časově nenáročné. Klidně můžeme konstatovat, že od čisté instalace Ubuntu, na kterou budeme VECTR přidávat, to zvládnete za několik minut.

Požadavky:
1x Ubuntu server – Doporučená konfigurace 6 CPU a 16 GB RAM, ale pro testování vystačíte s 2 CPU a 4 GB RAM.

 

Postup:

Pokud máte instalován Ubuntu server 20.04 nebo vyšší, jediný příkaz, který budete potřebovat je:

$ sudo apt-get install docker.io docker-compose unzip

Vytvořte složku pro VECTR a stáhněte z githubu poslední repo:

$ mkdir -p /opt/vectr

$ cd /opt/vectr

$ wget https://github.com/SecurityRiskAdvisors/VECTR/releases/download/ce-8.3.2/sra-vectr-runtime-8.3.2-ce.zip -P /opt/vectr

$ unzip sra-vectr-runtime-8.3.2-ce.zip

Verze se samozřejmě může lišit podle toho, kdy tento postup čtete, zkontrolujte si proto poslední dostupnou verzi na:

Releases · SecurityRiskAdvisors/VECTR (github.com)

 

Před samotným spuštěním docker compose je nutné ještě editovat env soubor:

$ sudo nano .env

Soubor upravte dle vašeho prostředí, aby VECTR fungoval existuje pouze jediná podmínka, a to změna hostname, kdy můžete samozřejmě klidně použít i IP adresu. Doporučujeme změnit i další údaje zvláště pokud přesunujete VECTR do produkce.

Teď již můžete směle zadat compose příkaz:

$ sudo docker-compose up -d

Uvedený příkaz stáhne veškeré nutné dockers a nastartuje je. Vy tak můžete vyrazit na adresu, kterou jste uvedli v env konfiguračním souboru.

Pro první přihlášení použijte defaultní údaje:

Username: admin

Password: 11_ThisIsTheFirstPassword_11

 

Po přihlášení proklikejte průvodce a seznamte se se základními operacemi v nástroji VECTR. Až budete mít naklikáno, tak zjistíte, že kromě několika modelových příkladů je ve VECTR celkem smutno, a proto je ideálním řešením…

 

Import MITRE CTI

Ve VECTR není snad nic jednoduššího a postup je proto velmi jednoduchý:

1. Jděte na MITRE CTI – mrkněte co tam všechno můžete najít, nebo rovnou:
2. Stáhněte si soubor Enterprise ATT&CK.
3. V nástroji VECTR jděte do Administration – Import Data – File Import.

4. Přetáhněte stažený soubor do sekce Drag & Drop your files or Browse nebo na tuto oblast jednoduše klikněte a vyberte stažený soubor v klasickém dialogu.

5. Potom co se dokončí nahrávání do VECTR, klikněte na Submit, aby došlo k natažení veškerých informací o APT skupinách, nástrojích TTP atd.

6. Ze zobrazeného seznamu si vyberte, co chcete importovat do VECTR, pokud importujete celý soubor bude pro vás veškerý obsah k dispozici i pro pozdější testování.

7. Po importu je možné spustit novou kampaň jednoduše kliknutím v levém menu na Assessment – velké tlačítko Create new.

8. Dejte svojí kampani jméno a přidejte podrobný popis, pokud chcete. Důležité je zvolit pod organization MITRE, aby se vám zkrátil seznam dostupných kampaní. Zvolte kampaň a klikněte Save.

9. Váš assessment se objeví v přehledu, po kliknutí na kampaň se zobrazí její detail a jednotlivé části kampaně. Gratulace můžete začít vaše testování.

Pokud by něco neklapalo, tak nás kontaktujte.