SlideShare une entreprise Scribd logo

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2)

Alphorm
Alphorm

Cette formation représente la deuxième partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore. Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams. Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques. Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs ! C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace. Les points forts de la formation • Formation pratique à hauteur de 80%. • Formation fonctionnelle qui vous donne des compétences exploitables sur le terrain. • Formation prenant en considération les besoins du marché. Résultats attendus Suite à cette deuxième partie de la formation Techniques de Blue Teaming - L'Essentiel pour l'Analyste SOC, le stagiaire pourra appréhender plusieurs compétences relatives aux besoins d’un contexte de Blue Teaming, notamment les analyste SOC. Il sera capable de dompter le concept de journalisation que ça soit sous linux avec Syslog ou encore les évènements Windows avec des études de cas concrètes des attaques qu’on peut rencontrer dans un SOC. Il aura aussi l’arsenal des connaissances afin d’enrichir les logs avec Sysmon et de construire des fichiers de configuration efficaces. Le stagiaire pourra aussi avoir les compétences nécessaires afin de déployer Osquery et le configurer pour récolter des informations sur l’état des ruches d’un système d’exploitation, de déployer des outils de surveillances de logs tel que Zeek ou encore des sondes de détection d’intrusion tel que Suricata sans oublier le Forwarding des différents logs récoltés au Siem pour des analyses plus approfondies. Un des chapitres intéressants qu’on retrouve dans la formation est l’Adversary Emulation qui donnera à l’analyste les compétences nécessaires afin de mettre en place des attaques imitant les modes opératoires des acteurs de menaces les plus connus qu’il pourra ensuite apprendre à détecter au niveau chapitre sur les SIEM avec la plateforme « data to everything : Splunk ». Enfin, le stagiaire pourra découvrir et apprendre à utiliser SIGMA pour exploiter et mettre en place des règles de détection portables. Modalités pédagogiques • QCM • Machines virtuelles • Support PDF • Vidéos Certification • Aucune

Technologie
1  sur  157
Télécharger pour lire hors ligne
Formation Techniques de Blue Teaming L'Essentiel pour l'Analyste SOC (2/2) Une formation Hamza KONDAH
Rappel du cursus Blue Teaming
Le Blue Teaming Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un mindset proactif Le Blue Teaming peut englober beaucoup de métiers Analyste SOC Incident Responder Threat Hunter Et même administrateurs 
Tâches d’une Blue Team La réalisation d'une analyse de l'empreinte numérique (test d’exposition) de l’organisme La mise en œuvre de solutions SIEM pour logger et analyser l'activité du réseau Surveillance au niveau de l'hôte et du réseau Prévenir les attaques de phishing Analyse de risque Threat Hunting Durcissement réseaux et systèmes Sensibilisation Et bien plus encore …
Une formation Connaissances requises Avoir des connaissances de base en systèmes et réseaux Avoir des connaissances de base en cybersécurité Avoir suivi la première formation
Une formation Plan de la formation Introduction 1. Dompter le concept de journalisation 2. Déployer Sysmon pour enrichir les logs 3. Comprendre, déployer et configurer Osquery 4. Comprendre, déployer et configurer Zeek 5. Comprendre, déployer et configurer Suricata 6. Comprendre et implémenter des exercices d‘Adversary Emulation 7. Exploiter des SIEM afin de détecter des menaces 8. Découvrir SIGMA pour la détection de menace Conclusion
Une formation Public concerné Administrateurs systèmes et réseaux Architectes systèmes et réseaux Analyste SOC Analyste Cyberdéfense Consultant cybersécurité Blue Teams Toute personne intéressé par l’IT 
Rappel de l'architecture du lab Une formation Hamza KONDAH
Configurations techniques Machine Windows 10 Hyperviseur VMWARE Workstation Pro 16 Go de RAM Processeur i7 8ème génération 500 SSD Architecture du LAB
Introduire la notion de journalisation Une formation Hamza KONDAH
LOGS = HORODATAGE + SOURCE + DATA
Introduction Les logs représentent concrètement un horodatage + une information représentant une trace d’une action Cela inclus : Les activités des utilisateurs, des fichiers, processus, registres ou applications (et plusieurs autres) Toute activité aujourd'hui peut être corrélé et donc peut être exploité comme évènement de sécurité Avoir une stratégie de journalisation est impératif la durée de rétention l’est encore plus
10
Mécanismes de transmission de logs Syslog Simple Network Management Protocol (SNMP) Solutions propriétaire (WEL, eStreamer…) Ces logs peuvent êtres analyées avec Des outils basique (Grep, Tail, Head…) Splunk Elastic Graylog
Appréhender le protocole de journalisation Syslog Une formation Hamza KONDAH
Introduction Syslog représente un protocole qui a était désigné comme un standard de messages de journalisation RFC 5424 Il est présent dans quasiment toutes les plateformes Défacto le standard pour linux Windows  Windows event Logs Port UDP 514 - TCP 1468 - TCP 6514 Fichiers de logs /etc/syslog.conf /var/log
Configuration auth ou security Messages de sécurité et d'authentification authpriv La même chose que précédemment, mais logs plus privés cron Messages de crontab et de at daemon Messages systémes générés par le daemon ftp Messages du serveur ftp kern Messages du noyau lpr Messages du serveur d'impression mail Messages du serveur de messagerie news Messages du serveur de news syslog Messages de syslog lui-même user Messages générés par le programme en cours d'un utilisateur uucp Messages UUCP
Sévérité 7 debug Messages de debogage 6 info Messages d'information 5 notice Messages un peu plus importants que les messages info 4 warning ou warn Messages d'avertissement 3 err Messages d'erreur 2 crit Situation critique 1 alert Situation critique nécessitant une intervention immédiate 0 emerg ou panic Système inutilisable
Structure d’un message syslog Un message syslog se compose de 3 parties Le PRI (le niveau de priorité calculé) Le HEADER (en-tête comportant les informations d’identification) Le MSG (le message lui-même)
Effectuer une analyse de log Attaques Web Une formation Hamza KONDAH
Le format de logs Apache Le serveur HTTP Apache fournit toute une variété de mécanismes différents pour la journalisation de tout ce qui peut se passer au sein de votre serveur Il existe deux principales catégories Access log Error Log Format de log 192.168.24.5 - clarck [19/Oct/2021:11:15:14 -0700] "GET /password.pdf HTTP/1.0" 200 2424 https://httpd.apache.org/docs/current/logs.html#common Log level https://httpd.apache.org/docs/current/mod/core.html#loglevel Une formation
Injection SQL
XSS (Cross Site Scripting)
Effectuer une analyse de log Détecter la création de nouveaux comptes utilisateurs Une formation Hamza KONDAH
Effectuer une analyse de log Syslog Attaques de brute forcing Une formation Hamza KONDAH
Les attaques Bruteforcing
Maitriser la journalisation sous Windows Une formation Hamza KONDAH
Une formation Présentation Format de journalisation Windows (Windows Event Log) Extension .evtx (Windows XML Event Log). Ils sont stockés au niveau des machines localement Sur Windows Server 200 à WinXP/WinServer2003 C:WindowsSystem32 Sur Windows Server 2008 à 2019 et Windows Vista à Win11 C:WindowsSystem32winevtLogs
Introduction Les journaux d'événements Windows stockent des informations sur différents événements qui se produisent dans le système Les données sont généralement enregistrées sous quatre types de journaux d'événements Windows Système Application Installation Sécurité Evènements forwardés
Structure du log Nom du log/Journal Date et heure de l’event Catégorie Event ID Source Niveau Utilisateur Ordinateur
Une formation Les niveaux d’évènements Windows Les niveaux d'événement Windows indiquent la gravité ou l'importance de l'événement enregistré Ceux-ci sont classés comme suit Information Avertissement Erreur Critique
Une formation Evènements intéressant
Effectuer une analyse de log Windows Tentatives d'authentification et création d'utilisateur Une formation Hamza KONDAH
Effectuer une analyse de log Windows Analyser les logs powershell Une formation Hamza KONDAH
Powershell Microsoft définit PowerShell comme suit "PowerShell® est un shell de ligne de commande basé sur les tâches et un langage de script conçu spécialement pour l'administration système. Construit sur le .NET Framework, Windows PowerShell aide les professionnels de l'informatique et les utilisateurs expérimentés à contrôler et automatiser l'administration du système d'exploitation Windows et des applications qui s'exécutent sous Windows’’
Effectuer une analyse de log Windows Hunting Mimikatz Une formation Hamza KONDAH
Une formation Mimikatz Mimikatz est un outil permettant d’effectuer diverses actions sur un système Windows injection de bibliothèques, manipulation de processus, extraction de hashs et de mots de passe…. Il devient indispensable aujourd’hui dans la boîte à outils de tout pentester
Une formation Local Security Subsystem Service LSASS.EXE (Local Security Authority Subsystem) est un exécutable qui est nécessaire pour le bon fonctionnement de Windows. Il assure l'identification des utilisateurs (utilisateurs du domaine ou utilisateurs locaux). Les attaquants peuvent tenter d'accéder aux informations d'identification stockées dans la mémoire de processus du service de sous-système de l'autorité de sécurité locale (LSASS).
Effectuer une analyse de log Windows Hunting des évènements RDP Une formation Hamza KONDAH
RDP : Authentifications réussis
Effectuer une analyse de log Windows Hunting Password Spraying Une formation Hamza KONDAH
Password Spraying
Effectuer une analyse de log Windows Hunting de surpression et désactivation des journaux Une formation Hamza KONDAH
Apprendre à utiliser DeepBlue-CLI pour analyser des logs Windows Une formation Hamza KONDAH
Utiliser un navigateur de logs afin de mieux les visualiser Une formation Hamza KONDAH
Découvrir Sysmon et son apport au niveau des logs Une formation Hamza KONDAH
Monitoring système et réseau Surveillance des processus : implique la surveillance de l'activité du processus et l'examen des propriétés résultantes lors de l'exécution du malware Surveillance du système de fichiers : inclut la surveillance de l'activité du système de fichiers en temps réel pendant l'exécution du malware Surveillance du registre : implique la surveillance des clés de registre accédées / modifiées et des données de registre qui sont lues / écrites par le malware Surveillance du réseau : implique la surveillance du trafic vers et depuis le système pendant l'exécution du malware
La journalisation native de Windows n’est pas suffisante !
Sysmon Le Moniteur système « Sysmon » est un service système Il permet de surveiller et consigner l'activité du système dans le journal des événements Windows Il fournit des informations détaillées sur les créations de processus, les connexions réseau et les modifications apportées à l'heure de création des fichiers La collecte se fait sur une base de règles XML 2 fichiers présent au niveau de la machine C:Windowssysmon.exe C:WindowssysmonDRV.exe Un service installé Sysmon est plus qu’un luxe, c’est une nécessité !
Actions/Réactions des Logs
Apprendre à configurer des fichiers de configuration sysmon Une formation Hamza KONDAH
Ce que Sysmon peut loger • CreateRemote Thread • RawAccessRead • Process accessed • File created • Registry object added, deleted,value set, • object renamed • File stream created • Sysmon configuration change • DNS query • Process Create • File creation time • Network connections • Sysmon service state change • Process terminated • Driver Loaded • Image loaded • Named pipe created, connected • WMI Events
Fichier de configuration sysmon
Les conditions sysmon
Déployer Sysmon sous Windows Une formation Hamza KONDAH
Déployer Sysmon sous Linux Une formation Hamza KONDAH
Introduction Sysmon pour linux se base sur les eBPF (Extended Berkeley Packet Filter) Une combinaison avec Syslog eBPF permet aux développeurs d'écrire du code qui s'exécute dans l'espace kernel de manière plus sécurisée et restreinte afin d'ajouter des capacités supplémentaires au système d'exploitation lors de l'exécution Il est utilisé pour Sécurité Traçabilité Mise en réseau Observabilité et surveillance
Events supportés 1 | Process Creation 3 | Network Connect 5 | Process Terminate 9 | RAW access read 11 | File Create / Overwrite 16 | Sysmon config change 23 | File Delete Une formation
Effectuer une analyse de log avec Sysmon Détecter le téléchargement de fichiers malicieux Une formation Hamza KONDAH
Effectuer une analyse de log avec Sysmon Détecter le téléchargement de fichiers malicieux Une formation Hamza KONDAH
Effectuer une analyse de log avec Sysmon Détecter les actions d'un ransomware Une formation Hamza KONDAH
Actions d'un ransomware
Effectuer une analyse de log avec Sysmon Détecter les executions de Macros Une formation Hamza KONDAH
Apprendre à simuler des events sysmon avec Sysmon Simulator Une formation Hamza KONDAH
Sysmon Simulator Sysmon Simulator est un utilitaire de simulation d'événements Windows Open source créé en langage C, qui peut être utilisé pour simuler la plupart des attaques à l'aide de WINAPI Cela peut être utilisé par les équipes Bleus pour tester les détections EDR et les règles de corrélation
Découvrir Osquery et son rôle dans l'analyse et la détection de menaces Une formation Hamza KONDAH
Introduction Osquery Osquery est une plateforme de monitoring et d’analyse de sécurité des points de terminaisons Il peut aussi être utilisé pour la compliance et le devops, l’analyse de performances … Osquery se comporte avec votre machine comme une base de données relationnel Il permet d’extraire les informations à travers des requêtes SQL traditionnel Il est disponible sous Windows, Linux, MacOS et FreeBSD
Exemples d’informations Processus en cours d'exécution et leurs paramètres Programmes exécutés au démarrage du système Services système Liste des utilisateurs et utilisateurs actuellement connectés Registres Événements Windows Tâches planifiées Les ports réseau sur lesquels la machine écoute Paramètres fichiers Une formation
Avantages Osquery Visibilité Cybersécurité Prise en charge des plates-formes les plus utilisées Code source accessible au public sous la licence Apache 2.0 Une formation
Déployer Osquery sous Windows et Linux Une formation Hamza KONDAH
Construire des requêtes Osquery Une formation Hamza KONDAH
Rechercher des traces de persistances
Afficher les tâches planifiées
Connection réseaux des processus
Comprendre les fichiers de configuration Osquery Une formation Hamza KONDAH
Fichier de configuration osquery.cnf
Fichier de configuration osquery.flags
Fichier de configuration Packs
Forwarder les logs Osquery à Splunk Une formation Hamza KONDAH
Fichier input.conf [monitor://C:Program Filesosquerylogosqueryd.results.log] sourcetype = osquery:results index = osquery App splunk
Découvrir Zeek et son rôle dans un système d'information Une formation Hamza KONDAH
Introduction à Zeek Zeek (AKA) est une puissante plateforme de supervision de sécurité réseau Le moteur Zeek capture le trafic et le convertit en une série d'événements Zeek prend en charge les alertes en temps réel, l'enregistrement des données pour une enquête plus approfondie et l'exécution automatique du programme pour les anomalies détectées (IR) Une formation
Introduction à Zeek Il génère des métadonnées réseau riches qui sont extrêmement précieuses pour la réponse aux incidents, le forensique et le dépannage Output JSON ASCII SQLLite Une formation
Fichiers de logs
Déployer et configurer Zeek Une formation Hamza KONDAH
Analyser les flux réseaux avec Zeek Une formation Hamza KONDAH
Forwarder les logs Zeek à Splunk Une formation Hamza KONDAH
Effectuer une analyse des logs Zeek avec BRIM Une formation Hamza KONDAH
Introduction à BRIM Brim est une application Desktop pour explorer, interroger et façonner les données à partir d’un data super-structuré C’est une solution intéressante pour parcourir des fichiers pcap ou zeek(json) Zeek produit un flux dédié "conn.log" contenant toutes les données de connexion pertinentes
Appréhender le fonctionnement des IDS et IPS dans un réseau informatique Une formation Hamza KONDAH
Découvrir les IDS IDS = Système de Détection d’Intrusion (en anglais IDS = Intrusion Detection System) NIDS = Network Intrusion Detection System Mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte) Il permet ainsi d’avoir une action de prévention sur les risques d’intrusion afin de détecter toute tentative d’intrusion et éventuellement de réagir à cette tentative
Terminologie Faux positif Faux négatif Evasion Sonde Log Fichier de log Signature d’attaque
Actions d’un IDS Journaliser l’événement : source d’information et vision des menaces courantes Avertir un système avec un message Exemple : appel SNMP Avertir un humain avec un message : courrier électronique, SMS, interface Web, etc Amorcer certaines actions sur un réseau ou hôte Exemple : mettre fin à une connexion réseau, ralentir le débit des connexions, etc (rôle actif) Une formation
Découvrir les IPS IPS : Système de Prévention d’Intrusion (en anglais IPS : Intrusion Prevention System) NIPS = Network Intrusion Prevention System Ensemble de composants logiciels et matériels dont la fonction principale est d’empêcher toute activité suspecte détectée au sein d’un système
Découvrir Suricata et son rôle dans un système d'information Une formation Hamza KONDAH
Suricata Suricata est une solution open source de détection de menace Il combine IDS, IPS et monitoring du réseau Il y a une communauté très active autour de Suricata (OSIF : Open Information Security Foundation ) 2 Rôles principaux Active : IPS Passif : IDS Il utilise un ensemble de règles prédéfini pour détecter la Traffic malicieux Ses logs peuvent être forwardé vers des SIEM pour plus de corrélation
Déployer et configurer Suricata Une formation Hamza KONDAH
Comprendre les règles suricata Une formation Hamza KONDAH
Les Règles Suricata drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg:”ET TROJAN Likely Bot Nick in IRC (USA +..)”; flow:established,to_server; flowbits:isset,is_proto_irc; content:”NICK “; pcre:”/NICK .*USA.*[0-9]{3,}/i”; reference:url,doc.emergingthreats.net/2008124; classtype:trojan-activity; sid:2008124; rev:2;)
Forwarder les logs Suricata à Splunk Une formation Hamza KONDAH
Découvrir la solution SELKS Une formation Hamza KONDAH
SELKS SELKS est une distribution opensource basée sur Debian En plus d’une interface simple et intuitive, il possède un stack d’outils lui permettant d’assurer de la détection et prévention d’intrusion, de la surveillance de la sécurité réseau (NSM) et du Threat Hunting S - Suricata IDPS/NSM E - Elasticsearch L - Logstash K - Kibana S - Scirius CE EveBox Arkime CyberChef
SELKS
Comprendre le concept d’Adversary Emulation Une formation Hamza KONDAH
Adversary Emulation L’Adversary Emulation est un type particulier des exercices Red Team Il consiste à imiter les actions effectuées par des groupes APT, des menaces avancées, ou tout simplement des modes opératoires connues pour être utilisés par des attaquants Les équipes construisent un(des) scénario(s) pour tester certains aspects des tactiques, techniques et procédures (TTP) d'un adversaire L'équipe rouge suit ensuite le scénario afin de tester comment les défenses pourraient se comporter contre l'adversaire émulé https://www.slideshare.net/AdamPennington4/rhisac-summit-2019-adam-pennington-leveraging-mitre-attck-for-detection- analysis-defense
Une formation MITRE ATT&CK Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus du MITRE (Cadre de projet FMX) ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge Documentation des TTPs courantes utilisées par les menaces persistantes avancées (APT) Le MITRE ATT&CK est un point de départ Threat intelligence Voir l’image en grand  (Des logs biensure) Ligne défensive efficace Analyse forensique
TTPs : Tactiques, Techniques et Procédures La Tactique : L’objectif d’un attaquant Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs “techniques” Sous-techniques : Elles décrivent les actions et le comportement de l'adversaire à un niveau inférieur et plus technique Procédures : Mises en œuvre spécifiques que les adversaires utilisent pour une technique ou une sous-technique
Une formation Caldera ATTPwin Atomic RedTeam RTA - Red Team Automation Infection Monkey Invoke-Adversary Cymulate Cobalt Strike Immunity Adversary Simulation Outils
Concevoir un exercice d'Adversary Emulation Une formation Hamza KONDAH
Adversary Emulation Emotet : https://www.capfi.fr/la-newsroom/blog/caldera-comment-identifier-ses-faiblesses-face-aux-cyberattaques/
Déployer des opérations d’AE avec Atomic Red Team Une formation Hamza KONDAH
Une formation Atomic Red Team Un projet démarré par l’équipe de Red Canary (https://redcanary.com/) Un projet Open Source avec une grande communauté Une librairie d’attaques scriptées Permet d’effectuer notamment de l’émulation adverse Détection : Blue Teams Validation des mesures de sécurité Ajuster les configurations Evaluer les produits de sécurité
Déployer des opérations D’AE avec Caldera Une formation Hamza KONDAH
Caldera CALDERA™ est un framework de cybersécurité développé par MITRE qui permet aux Red Teamer d'économiser du temps, de l'argent et de l'énergie grâce à des évaluations de sécurité automatisées 1. Charger l’agent CALDERA sur les hôtes du réseau 2. Créer un adversaire en lui donnant des capacités 3. Lancer l'opération
Caldera : Actions supportées
Déployer des opérations D’AE avec PurpleSharp Une formation Hamza KONDAH
Introduction au SIEM Une formation Hamza KONDAH
Introduction aux SIEM Système de gestion des événements et des informations de sécurité (SIEM) Point de gestion de logs centralisé Un rôle principale : Visibilité sur les activités d’un système d’information Leurs richesses : Plus il y a de logs, plus on s’amusent Périphériques réseaux Serveurs Dispositifs de sécurité Applications Collecte Corrélation Analyse Réaction
Analyse des logs avec un SIEM
Se positionner au niveau de l'analyse avec un SIEM Une formation Hamza KONDAH
Se positionner au niveau de l’analyse de logs Dans notre contexte, nous allons utiliser Splunk comme SIEM Nous n’allons pas utiliser d’application Premium Nos objectifs sont : la prise en mains, la recherche, l’analyse et surtout, la structuration des connaissances Notre SIEM sera un point centralisé des logs qu’on a pu envoyer jusqu’à maintenant Splunk
Se positionner au niveau de l’analyse de logs
« SOC = Sécurité absolue » Un saint expert cybersécurité
Le problème du SOC Une pléthore de solution de sécurité Des ressources humaines rarissime : Threat Actor > Blue Teams Un temps de réponse inefficace, La découverte d’une compromission se passe parfois plusieurs mois après l’action Des acteurs de menaces de plus en plus organisés et structurés (avec des outils sophistiqués) Vous avez accès à des EDR,SIEM… eux aussi  Techniques d’évasions qui ne manquent pas L’imperfection est humaine… Les attaquants changent, pas les TTPs
Découvrir les méthodologies d'analyse avec un SIEM Une formation Hamza KONDAH
Méthodologie d'analyse
Méthodologie d'analyse
Appréhender le modèle Splunk CIM Une formation Hamza KONDAH
Découvrir le CIM Le modèle d'information commun (CIM) de Splunk est un modèle sémantique partagé axé sur l'extraction de la valeur des données
Découvrir les applications de sécurité premium de Splunk Une formation Hamza KONDAH
Applications de sécurité premium de Splunk Splunk possède des licences complémentaires afin d’étendre ses capacités SIEM, SOAR et UEBA Splunk Enterprise Security Splunk User Behavior Analytics Splunk Phantom Splunk Security Cloud Foundations
Concevoir un plan d'émulation des menaces Une formation Hamza KONDAH
Modéliser un plan d'émulation des mances avec Vectr Une formation Hamza KONDAH
La solution Vectr VECTR est une plate-forme de purple teaming permettant de modéliser des approches d’émulations d'adversaires Son but est de documenter les attaques, de mesurer l'efficacité des outils défensifs, renforcer la sécurité et améliorer les capacités de détection grâce au suivi des performances actuelles et historiques
Détecter et analyser les techniques d'accès initiaux avec Splunk Une formation Hamza KONDAH
Détecter et analyser les techniques d'exécution avec Splunk Une formation Hamza KONDAH
Détecter et analyser les techniques d'élévation de privilèges avec Splunk Une formation Hamza KONDAH
Détecter et analyser les techniques de persistance avec Splunk Une formation Hamza KONDAH
Détecter et analyser les techniques de Credential Access avec Splunk Une formation Hamza KONDAH
Détecter et analyser les techniques d'exfiltration de données avec Splunk Une formation Hamza KONDAH
Détecter et analyser les techniques de ransoming avec Splunk Une formation Hamza KONDAH
Introduire la solution SIGMA Une formation Hamza KONDAH
Une formation Introduction SIGMA est un projet de Florien Roth (@cyb3rops) et Thomas Patzke(@blubbfiction) Lien Github : https://github.com/SigmaHQ/sigma Format de signature générique et ouvert Il vient pour résoudre un principale problème La pléthore de technologies (SIEM) Description universel d’une menace/use case L'écriture de règles Sigma est assez simple et suit le format de sérialisation YAML L'une des meilleures fonctionnalités est qu'il ne se limite pas à un fichier journal ou à une extension particulière
Avantages SIGMA Évolutivité Communauté Simplicité
Use cases Développer des règles reflétant votre angle d’analyse Eviter la dépendance vis-à-vis des éditeurs Partager des signatures de manière communautaires (Incluant avec MISP) Adapter les règles à votre contexte
Technologies supportées
Exploiter SIGMA pour la détection de menaces Une formation Hamza KONDAH
Conclusion Une formation Hamza KONDAH
Une formation Bilan de la formation Dompter le concept de journalisation Déployer Sysmon pour enrichir les logs Comprendre, déployer et configurer osquery Comprendre, déployer et configurer Zeek Comprendre, déployer et configurer Suricata Comprendre et implémenter des exercices d‘Adversary Emulation Exploiter des SIEM afin de détecter des menaces Découvrir SIGMA pour la détection de menace Appréhender l'essentiel de réponse à incident
Boss Of The SOC Boss of the SOC est une compétition de type CTF proposé par Splunk Nous allons exploiter ces datasets afin d’aiguiser nos compétences en Threat Hunting Essayez de faire les questions avant de voir les solutions ! Boss of The SOC v1 https://github.com/splunk/botsv1 Boss of The SOC v2 https://github.com/splunk/botsv2 Une formation
Prochaine formation
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2)

Recommandé

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 

Recommandé

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Alphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm.com Formation Hacking et Sécurité, l'essentiel
Alphorm.com Formation Hacking et Sécurité, l'essentielAlphorm
 
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)Alphorm
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 pptjeehane
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxZakariyaa AIT ELMOUDEN
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
Alphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosAziz Rgd
 
Le Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures PratiquesLe Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures PratiquesMohamed Sabra
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 

Contenu connexe

Tendances

alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)Alphorm
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionIntissar Dguechi
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 pptjeehane
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxZakariyaa AIT ELMOUDEN
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Alphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosAziz Rgd
 
Le Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures PratiquesLe Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures PratiquesMohamed Sabra
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 

Tendances (20)

alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)alphorm.com - Formation Cisco ICND1-CCENT (100-101)
alphorm.com - Formation Cisco ICND1-CCENT (100-101)
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Les systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusionLes systèmes de détection et prévention d’intrusion
Les systèmes de détection et prévention d’intrusion
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linux
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Alphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 IAlphorm.com Formation CEHV9 I
Alphorm.com Formation CEHV9 I
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
 
Le Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures PratiquesLe Pare-feu: Limites, Performances et Meilleures Pratiques
Le Pare-feu: Limites, Performances et Meilleures Pratiques
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 

Similaire à Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2)

Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Technet France
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
 
Expose sur monit
Expose sur monitExpose sur monit
Expose sur monitWadAbdoul
 
TP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdfTP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdffatima117475
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfngombeemmanuel
 
Gestion des threads
Gestion des threadsGestion des threads
Gestion des threadsSana Aroussi
 
Mdl ocsinventory 20100330
Mdl ocsinventory 20100330Mdl ocsinventory 20100330
Mdl ocsinventory 20100330robertpluss
 
Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...ITrust - Cybersecurity as a Service
 
ImpressCMS Persistable Framework: Développement de modules en accéléré
ImpressCMS Persistable Framework: Développement de modules en accéléréImpressCMS Persistable Framework: Développement de modules en accéléré
ImpressCMS Persistable Framework: Développement de modules en accéléréINBOX International inc.
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2tikok974
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2tikok974
 
Implémentation d’un stack Elastic pour superviser un environnement en constan...
Implémentation d’un stack Elastic pour superviser un environnement en constan...Implémentation d’un stack Elastic pour superviser un environnement en constan...
Implémentation d’un stack Elastic pour superviser un environnement en constan...Marc-Antoine Roux
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 

Similaire à Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2) (20)

Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide completAlphorm.com Formation Analyse de Malware 2/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 2/2 : Le guide complet
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup June
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
 
Cours syslog
Cours syslogCours syslog
Cours syslog
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 
Expose sur monit
Expose sur monitExpose sur monit
Expose sur monit
 
TP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdfTP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdf
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
 
Gestion des threads
Gestion des threadsGestion des threads
Gestion des threads
 
seim.pptx
seim.pptxseim.pptx
seim.pptx
 
Mdl ocsinventory 20100330
Mdl ocsinventory 20100330Mdl ocsinventory 20100330
Mdl ocsinventory 20100330
 
Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...Devons nous analyser les logs en continu pour minimiser les risques informati...
Devons nous analyser les logs en continu pour minimiser les risques informati...
 
ImpressCMS Persistable Framework: Développement de modules en accéléré
ImpressCMS Persistable Framework: Développement de modules en accéléréImpressCMS Persistable Framework: Développement de modules en accéléré
ImpressCMS Persistable Framework: Développement de modules en accéléré
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2
 
Implémentation d’un stack Elastic pour superviser un environnement en constan...
Implémentation d’un stack Elastic pour superviser un environnement en constan...Implémentation d’un stack Elastic pour superviser un environnement en constan...
Implémentation d’un stack Elastic pour superviser un environnement en constan...
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 

Plus de Alphorm

Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm
 
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm
 
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : SécuritéAlphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : SécuritéAlphorm
 
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm
 
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm
 
Alphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm
 
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm
 
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm
 
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm
 
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm
 
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm
 
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm
 
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm
 
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm
 
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm
 
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm
 
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm
 
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm
 
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de DonnéesAlphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de DonnéesAlphorm
 

Plus de Alphorm (20)

Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
Alphorm.com Formation Microsoft 365 (MS-500) : Administrateur Sécurité - Prot...
 
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
Alphorm.com Formation Google Sheets : Créer un Tableau de Bord Collaboratif a...
 
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : SécuritéAlphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
Alphorm.com Formation CCNP ENCOR 350-401 (6of8) : Sécurité
 
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à ZAlphorm.com Formation Vue JS 3 : Créer une application de A à Z
Alphorm.com Formation Vue JS 3 : Créer une application de A à Z
 
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'ArchitecturesAlphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
Alphorm.com Formation Blockchain : Maîtriser la Conception d'Architectures
 
Alphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion CommercialeAlphorm.com Formation Sage : Gestion Commerciale
Alphorm.com Formation Sage : Gestion Commerciale
 
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objetAlphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
Alphorm.com Formation PHP 8 (2/6) : L'héritage en orienté objet
 
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord InteractifAlphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
Alphorm.com Formation Excel 2019 : Concevoir un Tableau de Bord Interactif
 
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style IsométriqueAlphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
Alphorm.com Formation Maya 3D : Créer un Design d'intérieur au Style Isométrique
 
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à NiveauAlphorm.com Formation VMware vSphere 7 : La Mise à Niveau
Alphorm.com Formation VMware vSphere 7 : La Mise à Niveau
 
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
Alphorm.com Formation Apprendre les bonnes pratiques de CSS avec BEM : OOCSS ...
 
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes MobilesAlphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
Alphorm.com Formation Unity : Monétiser votre jeu 3D sur les plateformes Mobiles
 
Alphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POOAlphorm.com Formation PHP 8 : Les bases de la POO
Alphorm.com Formation PHP 8 : Les bases de la POO
 
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
Alphorm.com Formation Power BI : Transformation de Données avec DAX et Power ...
 
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
Alphorm.com Formation Améliorer le développement avec CSS-in-JS _ Styled Comp...
 
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
Alphorm.com Formation Unity (6/7) : Maitriser l'Intelligence Artificielle de ...
 
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBootAlphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
Alphorm.com Formation Architecture Microservices : Jenkins et SpringBoot
 
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et ServicesAlphorm.com Formation Active Directory 2022 : Multi Sites et Services
Alphorm.com Formation Active Directory 2022 : Multi Sites et Services
 
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition APIAlphorm.com Formation Vue JS 3 : Exploiter la Composition API
Alphorm.com Formation Vue JS 3 : Exploiter la Composition API
 
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de DonnéesAlphorm.com Formation Power BI : Analyse et Visualisation de Données
Alphorm.com Formation Power BI : Analyse et Visualisation de Données
 

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2)

  • 1. Formation Techniques de Blue Teaming L'Essentiel pour l'Analyste SOC (2/2) Une formation Hamza KONDAH
  • 2. Rappel du cursus Blue Teaming
  • 3. Le Blue Teaming Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un mindset proactif Le Blue Teaming peut englober beaucoup de métiers Analyste SOC Incident Responder Threat Hunter Et même administrateurs 
  • 4. Tâches d’une Blue Team La réalisation d'une analyse de l'empreinte numérique (test d’exposition) de l’organisme La mise en œuvre de solutions SIEM pour logger et analyser l'activité du réseau Surveillance au niveau de l'hôte et du réseau Prévenir les attaques de phishing Analyse de risque Threat Hunting Durcissement réseaux et systèmes Sensibilisation Et bien plus encore …
  • 5. Une formation Connaissances requises Avoir des connaissances de base en systèmes et réseaux Avoir des connaissances de base en cybersécurité Avoir suivi la première formation
  • 6. Une formation Plan de la formation Introduction 1. Dompter le concept de journalisation 2. Déployer Sysmon pour enrichir les logs 3. Comprendre, déployer et configurer Osquery 4. Comprendre, déployer et configurer Zeek 5. Comprendre, déployer et configurer Suricata 6. Comprendre et implémenter des exercices d‘Adversary Emulation 7. Exploiter des SIEM afin de détecter des menaces 8. Découvrir SIGMA pour la détection de menace Conclusion
  • 7. Une formation Public concerné Administrateurs systèmes et réseaux Architectes systèmes et réseaux Analyste SOC Analyste Cyberdéfense Consultant cybersécurité Blue Teams Toute personne intéressé par l’IT 
  • 8.
  • 9. Rappel de l'architecture du lab Une formation Hamza KONDAH
  • 10. Configurations techniques Machine Windows 10 Hyperviseur VMWARE Workstation Pro 16 Go de RAM Processeur i7 8ème génération 500 SSD Architecture du LAB
  • 11. Introduire la notion de journalisation Une formation Hamza KONDAH
  • 12. LOGS = HORODATAGE + SOURCE + DATA
  • 13. Introduction Les logs représentent concrètement un horodatage + une information représentant une trace d’une action Cela inclus : Les activités des utilisateurs, des fichiers, processus, registres ou applications (et plusieurs autres) Toute activité aujourd'hui peut être corrélé et donc peut être exploité comme évènement de sécurité Avoir une stratégie de journalisation est impératif la durée de rétention l’est encore plus
  • 14. 10
  • 15. Mécanismes de transmission de logs Syslog Simple Network Management Protocol (SNMP) Solutions propriétaire (WEL, eStreamer…) Ces logs peuvent êtres analyées avec Des outils basique (Grep, Tail, Head…) Splunk Elastic Graylog
  • 16. Appréhender le protocole de journalisation Syslog Une formation Hamza KONDAH
  • 17. Introduction Syslog représente un protocole qui a était désigné comme un standard de messages de journalisation RFC 5424 Il est présent dans quasiment toutes les plateformes Défacto le standard pour linux Windows  Windows event Logs Port UDP 514 - TCP 1468 - TCP 6514 Fichiers de logs /etc/syslog.conf /var/log
  • 18. Configuration auth ou security Messages de sécurité et d'authentification authpriv La même chose que précédemment, mais logs plus privés cron Messages de crontab et de at daemon Messages systémes générés par le daemon ftp Messages du serveur ftp kern Messages du noyau lpr Messages du serveur d'impression mail Messages du serveur de messagerie news Messages du serveur de news syslog Messages de syslog lui-même user Messages générés par le programme en cours d'un utilisateur uucp Messages UUCP
  • 19. Sévérité 7 debug Messages de debogage 6 info Messages d'information 5 notice Messages un peu plus importants que les messages info 4 warning ou warn Messages d'avertissement 3 err Messages d'erreur 2 crit Situation critique 1 alert Situation critique nécessitant une intervention immédiate 0 emerg ou panic Système inutilisable
  • 20. Structure d’un message syslog Un message syslog se compose de 3 parties Le PRI (le niveau de priorité calculé) Le HEADER (en-tête comportant les informations d’identification) Le MSG (le message lui-même)
  • 21. Effectuer une analyse de log Attaques Web Une formation Hamza KONDAH
  • 22. Le format de logs Apache Le serveur HTTP Apache fournit toute une variété de mécanismes différents pour la journalisation de tout ce qui peut se passer au sein de votre serveur Il existe deux principales catégories Access log Error Log Format de log 192.168.24.5 - clarck [19/Oct/2021:11:15:14 -0700] "GET /password.pdf HTTP/1.0" 200 2424 https://httpd.apache.org/docs/current/logs.html#common Log level https://httpd.apache.org/docs/current/mod/core.html#loglevel Une formation
  • 24. XSS (Cross Site Scripting)
  • 25. Effectuer une analyse de log Détecter la création de nouveaux comptes utilisateurs Une formation Hamza KONDAH
  • 26. Effectuer une analyse de log Syslog Attaques de brute forcing Une formation Hamza KONDAH
  • 28. Maitriser la journalisation sous Windows Une formation Hamza KONDAH
  • 29. Une formation Présentation Format de journalisation Windows (Windows Event Log) Extension .evtx (Windows XML Event Log). Ils sont stockés au niveau des machines localement Sur Windows Server 200 à WinXP/WinServer2003 C:WindowsSystem32 Sur Windows Server 2008 à 2019 et Windows Vista à Win11 C:WindowsSystem32winevtLogs
  • 30. Introduction Les journaux d'événements Windows stockent des informations sur différents événements qui se produisent dans le système Les données sont généralement enregistrées sous quatre types de journaux d'événements Windows Système Application Installation Sécurité Evènements forwardés
  • 31. Structure du log Nom du log/Journal Date et heure de l’event Catégorie Event ID Source Niveau Utilisateur Ordinateur
  • 32. Une formation Les niveaux d’évènements Windows Les niveaux d'événement Windows indiquent la gravité ou l'importance de l'événement enregistré Ceux-ci sont classés comme suit Information Avertissement Erreur Critique
  • 34. Effectuer une analyse de log Windows Tentatives d'authentification et création d'utilisateur Une formation Hamza KONDAH
  • 35. Effectuer une analyse de log Windows Analyser les logs powershell Une formation Hamza KONDAH
  • 36. Powershell Microsoft définit PowerShell comme suit "PowerShell® est un shell de ligne de commande basé sur les tâches et un langage de script conçu spécialement pour l'administration système. Construit sur le .NET Framework, Windows PowerShell aide les professionnels de l'informatique et les utilisateurs expérimentés à contrôler et automatiser l'administration du système d'exploitation Windows et des applications qui s'exécutent sous Windows’’
  • 37.
  • 38.
  • 39. Effectuer une analyse de log Windows Hunting Mimikatz Une formation Hamza KONDAH
  • 40. Une formation Mimikatz Mimikatz est un outil permettant d’effectuer diverses actions sur un système Windows injection de bibliothèques, manipulation de processus, extraction de hashs et de mots de passe…. Il devient indispensable aujourd’hui dans la boîte à outils de tout pentester
  • 41. Une formation Local Security Subsystem Service LSASS.EXE (Local Security Authority Subsystem) est un exécutable qui est nécessaire pour le bon fonctionnement de Windows. Il assure l'identification des utilisateurs (utilisateurs du domaine ou utilisateurs locaux). Les attaquants peuvent tenter d'accéder aux informations d'identification stockées dans la mémoire de processus du service de sous-système de l'autorité de sécurité locale (LSASS).
  • 42. Effectuer une analyse de log Windows Hunting des évènements RDP Une formation Hamza KONDAH
  • 44. Effectuer une analyse de log Windows Hunting Password Spraying Une formation Hamza KONDAH
  • 46. Effectuer une analyse de log Windows Hunting de surpression et désactivation des journaux Une formation Hamza KONDAH
  • 47. Apprendre à utiliser DeepBlue-CLI pour analyser des logs Windows Une formation Hamza KONDAH
  • 48. Utiliser un navigateur de logs afin de mieux les visualiser Une formation Hamza KONDAH
  • 49. Découvrir Sysmon et son apport au niveau des logs Une formation Hamza KONDAH
  • 50. Monitoring système et réseau Surveillance des processus : implique la surveillance de l'activité du processus et l'examen des propriétés résultantes lors de l'exécution du malware Surveillance du système de fichiers : inclut la surveillance de l'activité du système de fichiers en temps réel pendant l'exécution du malware Surveillance du registre : implique la surveillance des clés de registre accédées / modifiées et des données de registre qui sont lues / écrites par le malware Surveillance du réseau : implique la surveillance du trafic vers et depuis le système pendant l'exécution du malware
  • 51. La journalisation native de Windows n’est pas suffisante !
  • 52. Sysmon Le Moniteur système « Sysmon » est un service système Il permet de surveiller et consigner l'activité du système dans le journal des événements Windows Il fournit des informations détaillées sur les créations de processus, les connexions réseau et les modifications apportées à l'heure de création des fichiers La collecte se fait sur une base de règles XML 2 fichiers présent au niveau de la machine C:Windowssysmon.exe C:WindowssysmonDRV.exe Un service installé Sysmon est plus qu’un luxe, c’est une nécessité !
  • 54. Apprendre à configurer des fichiers de configuration sysmon Une formation Hamza KONDAH
  • 55. Ce que Sysmon peut loger • CreateRemote Thread • RawAccessRead • Process accessed • File created • Registry object added, deleted,value set, • object renamed • File stream created • Sysmon configuration change • DNS query • Process Create • File creation time • Network connections • Sysmon service state change • Process terminated • Driver Loaded • Image loaded • Named pipe created, connected • WMI Events
  • 58. Déployer Sysmon sous Windows Une formation Hamza KONDAH
  • 59. Déployer Sysmon sous Linux Une formation Hamza KONDAH
  • 60. Introduction Sysmon pour linux se base sur les eBPF (Extended Berkeley Packet Filter) Une combinaison avec Syslog eBPF permet aux développeurs d'écrire du code qui s'exécute dans l'espace kernel de manière plus sécurisée et restreinte afin d'ajouter des capacités supplémentaires au système d'exploitation lors de l'exécution Il est utilisé pour Sécurité Traçabilité Mise en réseau Observabilité et surveillance
  • 61. Events supportés 1 | Process Creation 3 | Network Connect 5 | Process Terminate 9 | RAW access read 11 | File Create / Overwrite 16 | Sysmon config change 23 | File Delete Une formation
  • 62. Effectuer une analyse de log avec Sysmon Détecter le téléchargement de fichiers malicieux Une formation Hamza KONDAH
  • 63. Effectuer une analyse de log avec Sysmon Détecter le téléchargement de fichiers malicieux Une formation Hamza KONDAH
  • 64. Effectuer une analyse de log avec Sysmon Détecter les actions d'un ransomware Une formation Hamza KONDAH
  • 66. Effectuer une analyse de log avec Sysmon Détecter les executions de Macros Une formation Hamza KONDAH
  • 67. Apprendre à simuler des events sysmon avec Sysmon Simulator Une formation Hamza KONDAH
  • 68. Sysmon Simulator Sysmon Simulator est un utilitaire de simulation d'événements Windows Open source créé en langage C, qui peut être utilisé pour simuler la plupart des attaques à l'aide de WINAPI Cela peut être utilisé par les équipes Bleus pour tester les détections EDR et les règles de corrélation
  • 69. Découvrir Osquery et son rôle dans l'analyse et la détection de menaces Une formation Hamza KONDAH
  • 70. Introduction Osquery Osquery est une plateforme de monitoring et d’analyse de sécurité des points de terminaisons Il peut aussi être utilisé pour la compliance et le devops, l’analyse de performances … Osquery se comporte avec votre machine comme une base de données relationnel Il permet d’extraire les informations à travers des requêtes SQL traditionnel Il est disponible sous Windows, Linux, MacOS et FreeBSD
  • 71. Exemples d’informations Processus en cours d'exécution et leurs paramètres Programmes exécutés au démarrage du système Services système Liste des utilisateurs et utilisateurs actuellement connectés Registres Événements Windows Tâches planifiées Les ports réseau sur lesquels la machine écoute Paramètres fichiers Une formation
  • 72. Avantages Osquery Visibilité Cybersécurité Prise en charge des plates-formes les plus utilisées Code source accessible au public sous la licence Apache 2.0 Une formation
  • 73. Déployer Osquery sous Windows et Linux Une formation Hamza KONDAH
  • 74. Construire des requêtes Osquery Une formation Hamza KONDAH
  • 75. Rechercher des traces de persistances
  • 78. Comprendre les fichiers de configuration Osquery Une formation Hamza KONDAH
  • 80. Fichier de configuration osquery.flags
  • 82. Forwarder les logs Osquery à Splunk Une formation Hamza KONDAH
  • 84. Découvrir Zeek et son rôle dans un système d'information Une formation Hamza KONDAH
  • 85. Introduction à Zeek Zeek (AKA) est une puissante plateforme de supervision de sécurité réseau Le moteur Zeek capture le trafic et le convertit en une série d'événements Zeek prend en charge les alertes en temps réel, l'enregistrement des données pour une enquête plus approfondie et l'exécution automatique du programme pour les anomalies détectées (IR) Une formation
  • 86. Introduction à Zeek Il génère des métadonnées réseau riches qui sont extrêmement précieuses pour la réponse aux incidents, le forensique et le dépannage Output JSON ASCII SQLLite Une formation
  • 88. Déployer et configurer Zeek Une formation Hamza KONDAH
  • 89. Analyser les flux réseaux avec Zeek Une formation Hamza KONDAH
  • 90. Forwarder les logs Zeek à Splunk Une formation Hamza KONDAH
  • 91. Effectuer une analyse des logs Zeek avec BRIM Une formation Hamza KONDAH
  • 92. Introduction à BRIM Brim est une application Desktop pour explorer, interroger et façonner les données à partir d’un data super-structuré C’est une solution intéressante pour parcourir des fichiers pcap ou zeek(json) Zeek produit un flux dédié "conn.log" contenant toutes les données de connexion pertinentes
  • 93. Appréhender le fonctionnement des IDS et IPS dans un réseau informatique Une formation Hamza KONDAH
  • 94. Découvrir les IDS IDS = Système de Détection d’Intrusion (en anglais IDS = Intrusion Detection System) NIDS = Network Intrusion Detection System Mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte) Il permet ainsi d’avoir une action de prévention sur les risques d’intrusion afin de détecter toute tentative d’intrusion et éventuellement de réagir à cette tentative
  • 96. Actions d’un IDS Journaliser l’événement : source d’information et vision des menaces courantes Avertir un système avec un message Exemple : appel SNMP Avertir un humain avec un message : courrier électronique, SMS, interface Web, etc Amorcer certaines actions sur un réseau ou hôte Exemple : mettre fin à une connexion réseau, ralentir le débit des connexions, etc (rôle actif) Une formation
  • 97. Découvrir les IPS IPS : Système de Prévention d’Intrusion (en anglais IPS : Intrusion Prevention System) NIPS = Network Intrusion Prevention System Ensemble de composants logiciels et matériels dont la fonction principale est d’empêcher toute activité suspecte détectée au sein d’un système
  • 98. Découvrir Suricata et son rôle dans un système d'information Une formation Hamza KONDAH
  • 99. Suricata Suricata est une solution open source de détection de menace Il combine IDS, IPS et monitoring du réseau Il y a une communauté très active autour de Suricata (OSIF : Open Information Security Foundation ) 2 Rôles principaux Active : IPS Passif : IDS Il utilise un ensemble de règles prédéfini pour détecter la Traffic malicieux Ses logs peuvent être forwardé vers des SIEM pour plus de corrélation
  • 100. Déployer et configurer Suricata Une formation Hamza KONDAH
  • 101. Comprendre les règles suricata Une formation Hamza KONDAH
  • 102. Les Règles Suricata drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg:”ET TROJAN Likely Bot Nick in IRC (USA +..)”; flow:established,to_server; flowbits:isset,is_proto_irc; content:”NICK “; pcre:”/NICK .*USA.*[0-9]{3,}/i”; reference:url,doc.emergingthreats.net/2008124; classtype:trojan-activity; sid:2008124; rev:2;)
  • 103. Forwarder les logs Suricata à Splunk Une formation Hamza KONDAH
  • 104. Découvrir la solution SELKS Une formation Hamza KONDAH
  • 105. SELKS SELKS est une distribution opensource basée sur Debian En plus d’une interface simple et intuitive, il possède un stack d’outils lui permettant d’assurer de la détection et prévention d’intrusion, de la surveillance de la sécurité réseau (NSM) et du Threat Hunting S - Suricata IDPS/NSM E - Elasticsearch L - Logstash K - Kibana S - Scirius CE EveBox Arkime CyberChef
  • 106. SELKS
  • 107. Comprendre le concept d’Adversary Emulation Une formation Hamza KONDAH
  • 108. Adversary Emulation L’Adversary Emulation est un type particulier des exercices Red Team Il consiste à imiter les actions effectuées par des groupes APT, des menaces avancées, ou tout simplement des modes opératoires connues pour être utilisés par des attaquants Les équipes construisent un(des) scénario(s) pour tester certains aspects des tactiques, techniques et procédures (TTP) d'un adversaire L'équipe rouge suit ensuite le scénario afin de tester comment les défenses pourraient se comporter contre l'adversaire émulé https://www.slideshare.net/AdamPennington4/rhisac-summit-2019-adam-pennington-leveraging-mitre-attck-for-detection- analysis-defense
  • 109. Une formation MITRE ATT&CK Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus du MITRE (Cadre de projet FMX) ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge Documentation des TTPs courantes utilisées par les menaces persistantes avancées (APT) Le MITRE ATT&CK est un point de départ Threat intelligence Voir l’image en grand  (Des logs biensure) Ligne défensive efficace Analyse forensique
  • 110. TTPs : Tactiques, Techniques et Procédures La Tactique : L’objectif d’un attaquant Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs “techniques” Sous-techniques : Elles décrivent les actions et le comportement de l'adversaire à un niveau inférieur et plus technique Procédures : Mises en œuvre spécifiques que les adversaires utilisent pour une technique ou une sous-technique
  • 111. Une formation Caldera ATTPwin Atomic RedTeam RTA - Red Team Automation Infection Monkey Invoke-Adversary Cymulate Cobalt Strike Immunity Adversary Simulation Outils
  • 112. Concevoir un exercice d'Adversary Emulation Une formation Hamza KONDAH
  • 113. Adversary Emulation Emotet : https://www.capfi.fr/la-newsroom/blog/caldera-comment-identifier-ses-faiblesses-face-aux-cyberattaques/
  • 114. Déployer des opérations d’AE avec Atomic Red Team Une formation Hamza KONDAH
  • 115. Une formation Atomic Red Team Un projet démarré par l’équipe de Red Canary (https://redcanary.com/) Un projet Open Source avec une grande communauté Une librairie d’attaques scriptées Permet d’effectuer notamment de l’émulation adverse Détection : Blue Teams Validation des mesures de sécurité Ajuster les configurations Evaluer les produits de sécurité
  • 116. Déployer des opérations D’AE avec Caldera Une formation Hamza KONDAH
  • 117. Caldera CALDERA™ est un framework de cybersécurité développé par MITRE qui permet aux Red Teamer d'économiser du temps, de l'argent et de l'énergie grâce à des évaluations de sécurité automatisées 1. Charger l’agent CALDERA sur les hôtes du réseau 2. Créer un adversaire en lui donnant des capacités 3. Lancer l'opération
  • 118. Caldera : Actions supportées
  • 119. Déployer des opérations D’AE avec PurpleSharp Une formation Hamza KONDAH
  • 120. Introduction au SIEM Une formation Hamza KONDAH
  • 121. Introduction aux SIEM Système de gestion des événements et des informations de sécurité (SIEM) Point de gestion de logs centralisé Un rôle principale : Visibilité sur les activités d’un système d’information Leurs richesses : Plus il y a de logs, plus on s’amusent Périphériques réseaux Serveurs Dispositifs de sécurité Applications Collecte Corrélation Analyse Réaction
  • 122. Analyse des logs avec un SIEM
  • 123. Se positionner au niveau de l'analyse avec un SIEM Une formation Hamza KONDAH
  • 124. Se positionner au niveau de l’analyse de logs Dans notre contexte, nous allons utiliser Splunk comme SIEM Nous n’allons pas utiliser d’application Premium Nos objectifs sont : la prise en mains, la recherche, l’analyse et surtout, la structuration des connaissances Notre SIEM sera un point centralisé des logs qu’on a pu envoyer jusqu’à maintenant Splunk
  • 125. Se positionner au niveau de l’analyse de logs
  • 126. « SOC = Sécurité absolue » Un saint expert cybersécurité
  • 127. Le problème du SOC Une pléthore de solution de sécurité Des ressources humaines rarissime : Threat Actor > Blue Teams Un temps de réponse inefficace, La découverte d’une compromission se passe parfois plusieurs mois après l’action Des acteurs de menaces de plus en plus organisés et structurés (avec des outils sophistiqués) Vous avez accès à des EDR,SIEM… eux aussi  Techniques d’évasions qui ne manquent pas L’imperfection est humaine… Les attaquants changent, pas les TTPs
  • 128. Découvrir les méthodologies d'analyse avec un SIEM Une formation Hamza KONDAH
  • 131. Appréhender le modèle Splunk CIM Une formation Hamza KONDAH
  • 132. Découvrir le CIM Le modèle d'information commun (CIM) de Splunk est un modèle sémantique partagé axé sur l'extraction de la valeur des données
  • 133. Découvrir les applications de sécurité premium de Splunk Une formation Hamza KONDAH
  • 134. Applications de sécurité premium de Splunk Splunk possède des licences complémentaires afin d’étendre ses capacités SIEM, SOAR et UEBA Splunk Enterprise Security Splunk User Behavior Analytics Splunk Phantom Splunk Security Cloud Foundations
  • 135.
  • 136.
  • 137. Concevoir un plan d'émulation des menaces Une formation Hamza KONDAH
  • 138. Modéliser un plan d'émulation des mances avec Vectr Une formation Hamza KONDAH
  • 139. La solution Vectr VECTR est une plate-forme de purple teaming permettant de modéliser des approches d’émulations d'adversaires Son but est de documenter les attaques, de mesurer l'efficacité des outils défensifs, renforcer la sécurité et améliorer les capacités de détection grâce au suivi des performances actuelles et historiques
  • 140. Détecter et analyser les techniques d'accès initiaux avec Splunk Une formation Hamza KONDAH
  • 141. Détecter et analyser les techniques d'exécution avec Splunk Une formation Hamza KONDAH
  • 142. Détecter et analyser les techniques d'élévation de privilèges avec Splunk Une formation Hamza KONDAH
  • 143. Détecter et analyser les techniques de persistance avec Splunk Une formation Hamza KONDAH
  • 144. Détecter et analyser les techniques de Credential Access avec Splunk Une formation Hamza KONDAH
  • 145. Détecter et analyser les techniques d'exfiltration de données avec Splunk Une formation Hamza KONDAH
  • 146. Détecter et analyser les techniques de ransoming avec Splunk Une formation Hamza KONDAH
  • 147. Introduire la solution SIGMA Une formation Hamza KONDAH
  • 148. Une formation Introduction SIGMA est un projet de Florien Roth (@cyb3rops) et Thomas Patzke(@blubbfiction) Lien Github : https://github.com/SigmaHQ/sigma Format de signature générique et ouvert Il vient pour résoudre un principale problème La pléthore de technologies (SIEM) Description universel d’une menace/use case L'écriture de règles Sigma est assez simple et suit le format de sérialisation YAML L'une des meilleures fonctionnalités est qu'il ne se limite pas à un fichier journal ou à une extension particulière
  • 150. Use cases Développer des règles reflétant votre angle d’analyse Eviter la dépendance vis-à-vis des éditeurs Partager des signatures de manière communautaires (Incluant avec MISP) Adapter les règles à votre contexte
  • 152. Exploiter SIGMA pour la détection de menaces Une formation Hamza KONDAH
  • 154. Une formation Bilan de la formation Dompter le concept de journalisation Déployer Sysmon pour enrichir les logs Comprendre, déployer et configurer osquery Comprendre, déployer et configurer Zeek Comprendre, déployer et configurer Suricata Comprendre et implémenter des exercices d‘Adversary Emulation Exploiter des SIEM afin de détecter des menaces Découvrir SIGMA pour la détection de menace Appréhender l'essentiel de réponse à incident
  • 155. Boss Of The SOC Boss of the SOC est une compétition de type CTF proposé par Splunk Nous allons exploiter ces datasets afin d’aiguiser nos compétences en Threat Hunting Essayez de faire les questions avant de voir les solutions ! Boss of The SOC v1 https://github.com/splunk/botsv1 Boss of The SOC v2 https://github.com/splunk/botsv2 Une formation