Το Leonidas είναι ένα framework για την εκτέλεση επιθέσεων στο cloud. Παρέχει μια μορφή που βασίζεται σε YAML για τον καθορισμό τακτικών, τεχνικών και διαδικασιών (TTP) του εισβολέα cloud και των σχετικών ιδιοτήτων εντοπισμού τους. Αυτοί οι ορισμοί μπορούν στη συνέχεια να συγκεντρωθούν σε:
-
Ένα διαδικτυακό API που εκθέτει κάθε δοκιμαστική υπόθεση ως μεμονωμένο τελικό σημείο
- Sigma rules (https://github.com/Neo23x0/sigma) για ανίχνευση
- Documentation – http://detectioninthe.cloud/ για παράδειγμα
Εγκατάσταση Generator Locally
- cd generator
- poetry install
Generating Sigma Rules
- poetry run ./generator.py sigma
Τα rules εμφανίζονται στο ./output/sigma
Generating Documentation
- poetry run ./generator.py docs
- cd output
- mkdocs build
Writing Definitions
--- name: Enumerate Cloudtrails for a Given Region author: Nick Jones description: | An adversary may attempt to enumerate the configured trails, to identify what actions will be logged and where they will be logged to. In AWS, this may start with a single call to enumerate the trails applicable to the default region. category: Discovery mitre_ids: - T1526 platform: aws permissions: - cloudtrail:DescribeTrails input_arguments: executors: sh: code: | aws cloudtrail describe-trails leonidas_aws: implemented: True clients: - cloudtrail code: | result = clients["cloudtrail"].describe_trails() detection: sigma_id: 48653a63-085a-4a3b-88be-9680e9adb449 status: experimental level: low sources: - name: "cloudtrail" attributes: eventName: "DescribeTrails" eventSource: "*.cloudtrail.amazonaws.com"
Μπορείτε να κατεβάσετε το πρόγραμμα από εδώ.