SIEM and SOAR: Securing Active Directory using Wazuh and Cortex xSOAR

The following thesis focuses on the role of Active Directory and Kerberos inside the scope of most companies, and proposes the necessary steps to allow security teams to promptly respond against cyber attacks that focus on this environment. The most common attacks that rely on Active Directory will be explained and tested, to provide the reader with the necessary background to understand and evaluate the proposed work. The thesis will then follow with the presentation of the proposed framework, with its central components.\\ Security Information and Event Management systems will be proposed as the first step to improve the security posture, employing its detection rules functionality to inform security teams of possible breaches and attacks. Subsequently, the thesis will advocate for the incorporation of a Security Orchestration, Automation and Response system, and the playbooks proposed to neutralize Active Directory threats will be presented. Overall, the following work will propose a holistic approach encompassing threat awareness, proactive detection, and automated response mechanisms, through which organizations can enhance their resilience and readiness against attacks relying on Active Directory and Kerberos.

La seguente tesi si concentra sul ruolo di Active Directory e Kerberos all'interno di un contesto aziendale, e propone i passaggi necessari per consentire ai team di sicurezza di rispondere prontamente agli attacchi informatici che si concentrano su questo ambiente. Verranno spiegati e testati gli attacchi più comuni che si basano su Active Directory, al fine di fornire al lettore il necessario background per comprendere ed valutare il lavoro proposto. La tesi proseguirà quindi con la presentazione del framework proposto, con i suoi componenti centrali. Verranno proposti sistemi di Security Information and Event Management come primo passo per migliorare la postura di sicurezza, impiegando la funzionalità delle regole di rilevamento per informare i team di sicurezza di possibili violazioni e attacchi. Successivamente, la tesi proporrà l'incorporazione di un sistema di Security Orchestration, Automation and Response, e verranno presentati i playbook proposti per neutralizzare le minacce di Active Directory. Nel complesso, il lavoro seguente proporrà un approccio olistico che comprende la consapevolezza delle possibili minacce, la rilevazione proattiva e i meccanismi di risposta automatizzati, attraverso i quali le organizzazioni possono migliorare la propria resilienza e prontezza contro gli attacchi che si basano su Active Directory e Kerberos.