Cette formation représente la deuxième partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore.
Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams.
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques.
Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs !
C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace.
Les points forts de la formation
• Formation pratique à hauteur de 80%.
• Formation fonctionnelle qui vous donne des compétences exploitables sur le terrain.
• Formation prenant en considération les besoins du marché.
Résultats attendus
Suite à cette deuxième partie de la formation Techniques de Blue Teaming - L'Essentiel pour l'Analyste SOC, le stagiaire pourra appréhender plusieurs compétences relatives aux besoins d’un contexte de Blue Teaming, notamment les analyste SOC.
Il sera capable de dompter le concept de journalisation que ça soit sous linux avec Syslog ou encore les évènements Windows avec des études de cas concrètes des attaques qu’on peut rencontrer dans un SOC.
Il aura aussi l’arsenal des connaissances afin d’enrichir les logs avec Sysmon et de construire des fichiers de configuration efficaces.
Le stagiaire pourra aussi avoir les compétences nécessaires afin de déployer Osquery et le configurer pour récolter des informations sur l’état des ruches d’un système d’exploitation, de déployer des outils de surveillances de logs tel que Zeek ou encore des sondes de détection d’intrusion tel que Suricata sans oublier le Forwarding des différents logs récoltés au Siem pour des analyses plus approfondies.
Un des chapitres intéressants qu’on retrouve dans la formation est l’Adversary Emulation qui donnera à l’analyste les compétences nécessaires afin de mettre en place des attaques imitant les modes opératoires des acteurs de menaces les plus connus qu’il pourra ensuite apprendre à détecter au niveau chapitre sur les SIEM avec la plateforme « data to everything : Splunk ».
Enfin, le stagiaire pourra découvrir et apprendre à utiliser SIGMA pour exploiter et mettre en place des règles de détection portables.
Modalités pédagogiques
• QCM
• Machines virtuelles
• Support PDF
• Vidéos
Certification
• Aucune
3. Le Blue Teaming
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les
menaces et les cyberattaques
Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un
mindset proactif
Le Blue Teaming peut englober beaucoup de métiers
Analyste SOC
Incident Responder
Threat Hunter
Et même administrateurs
4. Tâches d’une Blue Team
La réalisation d'une analyse de l'empreinte numérique (test d’exposition) de l’organisme
La mise en œuvre de solutions SIEM pour logger et analyser l'activité du réseau
Surveillance au niveau de l'hôte et du réseau
Prévenir les attaques de phishing
Analyse de risque
Threat Hunting
Durcissement réseaux et systèmes
Sensibilisation
Et bien plus encore …
5. Une formation
Connaissances requises
Avoir des connaissances de base en systèmes et réseaux
Avoir des connaissances de base en cybersécurité
Avoir suivi la première formation
6. Une formation
Plan de la formation
Introduction
1. Dompter le concept de journalisation
2. Déployer Sysmon pour enrichir les logs
3. Comprendre, déployer et configurer Osquery
4. Comprendre, déployer et configurer Zeek
5. Comprendre, déployer et configurer Suricata
6. Comprendre et implémenter des exercices d‘Adversary
Emulation
7. Exploiter des SIEM afin de détecter des menaces
8. Découvrir SIGMA pour la détection de menace
Conclusion
7. Une formation
Public concerné
Administrateurs systèmes et réseaux
Architectes systèmes et réseaux
Analyste SOC
Analyste Cyberdéfense
Consultant cybersécurité
Blue Teams
Toute personne intéressé par l’IT
13. Introduction
Les logs représentent concrètement
un horodatage + une information représentant une trace d’une action
Cela inclus : Les activités des utilisateurs, des fichiers, processus, registres ou applications (et
plusieurs autres)
Toute activité aujourd'hui peut être corrélé et donc peut être exploité comme évènement de
sécurité
Avoir une stratégie de journalisation est impératif
la durée de rétention l’est encore plus
17. Introduction
Syslog représente un protocole qui a était désigné comme un standard de messages de
journalisation RFC 5424
Il est présent dans quasiment toutes les plateformes
Défacto le standard pour linux
Windows Windows event Logs
Port UDP 514 - TCP 1468 - TCP 6514
Fichiers de logs
/etc/syslog.conf
/var/log
18. Configuration
auth ou security Messages de sécurité et d'authentification
authpriv La même chose que précédemment, mais logs plus privés
cron Messages de crontab et de at
daemon Messages systémes générés par le daemon
ftp Messages du serveur ftp
kern Messages du noyau
lpr Messages du serveur d'impression
mail Messages du serveur de messagerie
news Messages du serveur de news
syslog Messages de syslog lui-même
user Messages générés par le programme en cours d'un utilisateur
uucp Messages UUCP
19. Sévérité
7 debug Messages de debogage
6 info Messages d'information
5 notice
Messages un peu plus importants que les
messages info
4 warning ou warn Messages d'avertissement
3 err Messages d'erreur
2 crit Situation critique
1 alert
Situation critique nécessitant une intervention
immédiate
0 emerg ou panic Système inutilisable
20. Structure d’un message syslog
Un message syslog se compose de 3 parties
Le PRI (le niveau de priorité calculé)
Le HEADER (en-tête comportant les informations d’identification)
Le MSG (le message lui-même)
22. Le format de logs Apache
Le serveur HTTP Apache fournit toute une variété de mécanismes différents
pour la journalisation de tout ce qui peut se passer au sein de votre serveur
Il existe deux principales catégories
Access log
Error Log
Format de log
192.168.24.5 - clarck [19/Oct/2021:11:15:14 -0700] "GET /password.pdf
HTTP/1.0" 200 2424
https://httpd.apache.org/docs/current/logs.html#common
Log level
https://httpd.apache.org/docs/current/mod/core.html#loglevel
Une formation
29. Une formation
Présentation
Format de journalisation Windows (Windows Event Log)
Extension .evtx (Windows XML Event Log).
Ils sont stockés au niveau des machines localement
Sur Windows Server 200 à WinXP/WinServer2003
C:WindowsSystem32
Sur Windows Server 2008 à 2019 et Windows Vista à
Win11
C:WindowsSystem32winevtLogs
30. Introduction
Les journaux d'événements Windows stockent des informations sur différents événements qui se
produisent dans le système
Les données sont généralement enregistrées sous quatre types de journaux d'événements
Windows
Système Application Installation Sécurité
Evènements forwardés
31. Structure du log
Nom du
log/Journal
Date et
heure de
l’event
Catégorie Event ID
Source Niveau Utilisateur Ordinateur
32. Une formation
Les niveaux d’évènements Windows
Les niveaux d'événement Windows indiquent la gravité ou
l'importance de l'événement enregistré
Ceux-ci sont classés comme suit
Information
Avertissement
Erreur
Critique
34. Effectuer une analyse de log Windows
Tentatives d'authentification et création
d'utilisateur
Une formation
Hamza KONDAH
35. Effectuer une analyse de log Windows
Analyser les logs powershell
Une formation
Hamza KONDAH
36. Powershell
Microsoft définit PowerShell comme suit
"PowerShell® est un shell de ligne de commande basé sur les tâches et un langage
de script conçu spécialement pour l'administration système. Construit sur le .NET
Framework, Windows PowerShell aide les professionnels de l'informatique et les
utilisateurs expérimentés à contrôler et automatiser l'administration du système
d'exploitation Windows et des applications qui s'exécutent sous Windows’’
40. Une formation
Mimikatz
Mimikatz est un outil permettant d’effectuer diverses
actions sur un système Windows
injection de bibliothèques, manipulation de processus,
extraction de hashs et de mots de passe….
Il devient indispensable aujourd’hui dans la boîte à outils
de tout pentester
41. Une formation
Local Security Subsystem Service
LSASS.EXE (Local Security Authority Subsystem) est un exécutable qui est nécessaire
pour le bon fonctionnement de Windows.
Il assure l'identification des utilisateurs (utilisateurs du domaine ou utilisateurs
locaux).
Les attaquants peuvent tenter d'accéder aux informations d'identification stockées
dans la mémoire de processus du service de sous-système de l'autorité de sécurité
locale (LSASS).
42. Effectuer une analyse de log Windows
Hunting des évènements RDP
Une formation
Hamza KONDAH
50. Monitoring système et réseau
Surveillance des processus : implique la surveillance de l'activité du processus et l'examen des
propriétés résultantes lors de l'exécution du malware
Surveillance du système de fichiers : inclut la surveillance de l'activité du système de fichiers en
temps réel pendant l'exécution du malware
Surveillance du registre : implique la surveillance des clés de registre accédées / modifiées et
des données de registre qui sont lues / écrites par le malware
Surveillance du réseau : implique la surveillance du trafic vers et depuis le système pendant
l'exécution du malware
52. Sysmon
Le Moniteur système « Sysmon » est un service système
Il permet de surveiller et consigner l'activité du système dans le journal des événements
Windows
Il fournit des informations détaillées sur les créations de processus, les connexions réseau et les
modifications apportées à l'heure de création des fichiers
La collecte se fait sur une base de règles XML
2 fichiers présent au niveau de la machine
C:Windowssysmon.exe
C:WindowssysmonDRV.exe
Un service installé
Sysmon est plus qu’un luxe, c’est une nécessité !
60. Introduction
Sysmon pour linux se base sur les eBPF (Extended Berkeley Packet Filter)
Une combinaison avec Syslog
eBPF permet aux développeurs d'écrire du code qui s'exécute dans l'espace kernel de manière
plus sécurisée et restreinte afin d'ajouter des capacités supplémentaires au système d'exploitation
lors de l'exécution
Il est utilisé pour
Sécurité
Traçabilité
Mise en réseau
Observabilité et surveillance
61. Events supportés
1 | Process Creation
3 | Network Connect
5 | Process Terminate
9 | RAW access read
11 | File Create / Overwrite
16 | Sysmon config change
23 | File Delete
Une formation
62. Effectuer une analyse de log avec Sysmon
Détecter le téléchargement de fichiers malicieux
Une formation
Hamza KONDAH
63. Effectuer une analyse de log avec Sysmon
Détecter le téléchargement de fichiers malicieux
Une formation
Hamza KONDAH
64. Effectuer une analyse de log avec Sysmon
Détecter les actions d'un ransomware
Une formation
Hamza KONDAH
66. Effectuer une analyse de log avec Sysmon
Détecter les executions de Macros
Une formation
Hamza KONDAH
67. Apprendre à simuler des events
sysmon avec Sysmon Simulator
Une formation
Hamza KONDAH
68. Sysmon Simulator
Sysmon Simulator est un utilitaire de simulation d'événements Windows Open source créé en
langage C, qui peut être utilisé pour simuler la plupart des attaques à l'aide de WINAPI
Cela peut être utilisé par les équipes Bleus pour tester les détections EDR et les règles de
corrélation
69. Découvrir Osquery et son rôle dans
l'analyse et la détection de menaces
Une formation
Hamza KONDAH
70. Introduction Osquery
Osquery est une plateforme de monitoring et d’analyse de sécurité des points de terminaisons
Il peut aussi être utilisé pour la compliance et le devops, l’analyse de performances …
Osquery se comporte avec votre machine comme une base de données relationnel
Il permet d’extraire les informations à travers des requêtes SQL traditionnel
Il est disponible sous Windows, Linux, MacOS et FreeBSD
71. Exemples d’informations
Processus en cours d'exécution et leurs paramètres
Programmes exécutés au démarrage du système
Services système
Liste des utilisateurs et utilisateurs actuellement connectés
Registres
Événements Windows
Tâches planifiées
Les ports réseau sur lesquels la machine écoute
Paramètres fichiers
Une formation
84. Découvrir Zeek et son rôle
dans un système d'information
Une formation
Hamza KONDAH
85. Introduction à Zeek
Zeek (AKA) est une puissante plateforme de supervision
de sécurité réseau
Le moteur Zeek capture le trafic et le convertit en une
série d'événements
Zeek prend en charge les alertes en temps réel,
l'enregistrement des données pour une enquête plus
approfondie et l'exécution automatique du programme
pour les anomalies détectées (IR)
Une formation
86. Introduction à Zeek
Il génère des métadonnées réseau riches qui sont
extrêmement précieuses pour la réponse aux
incidents, le forensique et le dépannage
Output
JSON
ASCII
SQLLite
Une formation
92. Introduction à BRIM
Brim est une application Desktop pour explorer, interroger et façonner les données à
partir d’un data super-structuré
C’est une solution intéressante pour parcourir des fichiers pcap ou zeek(json)
Zeek produit un flux dédié "conn.log" contenant toutes les données de connexion
pertinentes
94. Découvrir les IDS
IDS = Système de Détection d’Intrusion (en anglais IDS = Intrusion Detection System)
NIDS = Network Intrusion Detection System
Mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un
réseau ou un hôte)
Il permet ainsi d’avoir une action de prévention sur les risques d’intrusion afin de détecter toute
tentative d’intrusion et éventuellement de réagir à cette tentative
96. Actions d’un IDS
Journaliser l’événement : source d’information et vision
des menaces courantes
Avertir un système avec un message
Exemple : appel SNMP
Avertir un humain avec un message : courrier
électronique, SMS, interface Web, etc
Amorcer certaines actions sur un réseau ou hôte
Exemple : mettre fin à une connexion réseau, ralentir le
débit des connexions, etc (rôle actif)
Une formation
97. Découvrir les IPS
IPS : Système de Prévention d’Intrusion (en anglais IPS : Intrusion Prevention System)
NIPS = Network Intrusion Prevention System
Ensemble de composants logiciels et matériels dont la fonction principale est
d’empêcher toute activité suspecte détectée au sein d’un système
98. Découvrir Suricata et son rôle
dans un système d'information
Une formation
Hamza KONDAH
99. Suricata
Suricata est une solution open source de détection de menace
Il combine IDS, IPS et monitoring du réseau
Il y a une communauté très active autour de Suricata (OSIF : Open Information Security
Foundation )
2 Rôles principaux
Active : IPS
Passif : IDS
Il utilise un ensemble de règles prédéfini pour détecter la Traffic malicieux
Ses logs peuvent être forwardé vers des SIEM pour plus de corrélation
102. Les Règles Suricata
drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg:”ET TROJAN Likely Bot Nick
in IRC (USA +..)”; flow:established,to_server; flowbits:isset,is_proto_irc;
content:”NICK “; pcre:”/NICK .*USA.*[0-9]{3,}/i”;
reference:url,doc.emergingthreats.net/2008124; classtype:trojan-activity;
sid:2008124; rev:2;)
105. SELKS
SELKS est une distribution opensource basée sur Debian
En plus d’une interface simple et intuitive, il possède un stack d’outils lui permettant d’assurer de la
détection et prévention d’intrusion, de la surveillance de la sécurité réseau (NSM) et du Threat
Hunting
S - Suricata IDPS/NSM
E - Elasticsearch
L - Logstash
K - Kibana
S - Scirius CE
EveBox
Arkime
CyberChef
108. Adversary Emulation
L’Adversary Emulation est un type particulier des exercices Red Team
Il consiste à imiter les actions effectuées par des groupes APT, des menaces avancées, ou tout
simplement des modes opératoires connues pour être utilisés par des attaquants
Les équipes construisent un(des) scénario(s) pour tester certains aspects des tactiques, techniques
et procédures (TTP) d'un adversaire
L'équipe rouge suit ensuite le scénario afin de tester comment les défenses pourraient se
comporter contre l'adversaire émulé
https://www.slideshare.net/AdamPennington4/rhisac-summit-2019-adam-pennington-leveraging-mitre-attck-for-detection-
analysis-defense
109. Une formation
MITRE ATT&CK
Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus
du MITRE (Cadre de projet FMX)
ATT&CK signifie Adversarial Tactics, Techniques, and Common
Knowledge
Documentation des TTPs courantes utilisées par les menaces
persistantes avancées (APT)
Le MITRE ATT&CK est un point de départ
Threat intelligence
Voir l’image en grand (Des logs biensure)
Ligne défensive efficace
Analyse forensique
110. TTPs : Tactiques, Techniques et Procédures
La Tactique : L’objectif d’un attaquant
Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs
“techniques”
Sous-techniques : Elles décrivent les actions et le comportement de l'adversaire à un
niveau inférieur et plus technique
Procédures : Mises en œuvre spécifiques que les adversaires utilisent pour une
technique ou une sous-technique
115. Une formation
Atomic Red Team
Un projet démarré par l’équipe de Red Canary
(https://redcanary.com/)
Un projet Open Source avec une grande communauté
Une librairie d’attaques scriptées
Permet d’effectuer notamment de l’émulation adverse
Détection : Blue Teams
Validation des mesures de sécurité
Ajuster les configurations
Evaluer les produits de sécurité
117. Caldera
CALDERA™ est un framework de cybersécurité développé par MITRE qui permet aux
Red Teamer d'économiser du temps, de l'argent et de l'énergie grâce à des évaluations
de sécurité automatisées
1. Charger l’agent CALDERA sur les hôtes du réseau
2. Créer un adversaire en lui donnant des capacités
3. Lancer l'opération
121. Introduction aux SIEM
Système de gestion des événements et des informations de sécurité (SIEM)
Point de gestion de logs centralisé
Un rôle principale : Visibilité sur les activités d’un système d’information
Leurs richesses : Plus il y a de logs, plus on s’amusent
Périphériques réseaux
Serveurs
Dispositifs de sécurité
Applications
Collecte Corrélation Analyse Réaction
123. Se positionner au niveau
de l'analyse avec un SIEM
Une formation
Hamza KONDAH
124. Se positionner au niveau de l’analyse de logs
Dans notre contexte, nous allons utiliser Splunk comme SIEM
Nous n’allons pas utiliser d’application Premium
Nos objectifs sont : la prise en mains, la recherche, l’analyse et surtout, la structuration des
connaissances
Notre SIEM sera un point centralisé des logs qu’on a pu envoyer jusqu’à maintenant
Splunk
126. « SOC = Sécurité absolue »
Un saint expert cybersécurité
127. Le problème du SOC
Une pléthore de solution de sécurité
Des ressources humaines rarissime : Threat Actor > Blue Teams
Un temps de réponse inefficace,
La découverte d’une compromission se passe parfois plusieurs mois après l’action
Des acteurs de menaces de plus en plus organisés et structurés (avec des outils
sophistiqués)
Vous avez accès à des EDR,SIEM… eux aussi Techniques d’évasions qui ne manquent
pas
L’imperfection est humaine…
Les attaquants changent, pas les TTPs
134. Applications de sécurité premium de Splunk
Splunk possède des licences complémentaires afin d’étendre ses capacités
SIEM, SOAR et UEBA
Splunk Enterprise Security
Splunk User Behavior Analytics
Splunk Phantom
Splunk Security Cloud Foundations
138. Modéliser un plan d'émulation
des mances avec Vectr
Une formation
Hamza KONDAH
139. La solution Vectr
VECTR est une plate-forme de purple teaming permettant de modéliser des approches
d’émulations d'adversaires
Son but est de documenter les attaques, de mesurer l'efficacité des outils défensifs,
renforcer la sécurité et améliorer les capacités de détection grâce au suivi des
performances actuelles et historiques
140. Détecter et analyser les techniques
d'accès initiaux avec Splunk
Une formation
Hamza KONDAH
141. Détecter et analyser les techniques
d'exécution avec Splunk
Une formation
Hamza KONDAH
142. Détecter et analyser les techniques
d'élévation de privilèges avec Splunk
Une formation
Hamza KONDAH
143. Détecter et analyser les techniques
de persistance avec Splunk
Une formation
Hamza KONDAH
144. Détecter et analyser les techniques
de Credential Access avec Splunk
Une formation
Hamza KONDAH
145. Détecter et analyser les techniques
d'exfiltration de données avec Splunk
Une formation
Hamza KONDAH
146. Détecter et analyser les techniques
de ransoming avec Splunk
Une formation
Hamza KONDAH
148. Une formation
Introduction
SIGMA est un projet de Florien Roth (@cyb3rops) et Thomas
Patzke(@blubbfiction)
Lien Github : https://github.com/SigmaHQ/sigma
Format de signature générique et ouvert
Il vient pour résoudre un principale problème
La pléthore de technologies (SIEM)
Description universel d’une menace/use case
L'écriture de règles Sigma est assez simple et suit le format de
sérialisation YAML
L'une des meilleures fonctionnalités est qu'il ne se limite pas à un
fichier journal ou à une extension particulière
150. Use cases
Développer des règles reflétant votre angle d’analyse
Eviter la dépendance vis-à-vis des éditeurs
Partager des signatures de manière communautaires (Incluant avec MISP)
Adapter les règles à votre contexte
154. Une formation
Bilan de la formation
Dompter le concept de journalisation
Déployer Sysmon pour enrichir les logs
Comprendre, déployer et configurer osquery
Comprendre, déployer et configurer Zeek
Comprendre, déployer et configurer Suricata
Comprendre et implémenter des exercices d‘Adversary Emulation
Exploiter des SIEM afin de détecter des menaces
Découvrir SIGMA pour la détection de menace
Appréhender l'essentiel de réponse à incident
155. Boss Of The SOC
Boss of the SOC est une compétition de type CTF proposé par
Splunk
Nous allons exploiter ces datasets afin d’aiguiser nos compétences
en Threat Hunting
Essayez de faire les questions avant de voir les solutions !
Boss of The SOC v1
https://github.com/splunk/botsv1
Boss of The SOC v2
https://github.com/splunk/botsv2
Une formation