SlideShare une entreprise Scribd logo

seim.pptx

Télécharger en tant que PPTX, PDF
F
fatima117475

seim

Données & analyses
1  sur  47
M211 LES SOLUTIONS SEIM
SEIM • Le SIEM, de l'anglais Security Information and Event Management, est une solution de gestion des évènements (logs) du système d'information. Cet outil permet de collecter en temps réel les logs de diverses sources (poste de travail, serveur, pare-feu, etc.), de les analyser et de les corréler, dans l'objectif de détecter des incidents de sécurité ou des anomalies. • Fournir des rapports sur les incidents et événements liés à la sécurité : les connexions réussies et échouées, l'activité des logiciels malveillants et d'autres activités malveillantes possibles. • Envoyer des alertes si l'analyse montre qu'une activité s'exécute sur des ensembles de règles prédéterminées, comme par exemple l'exécution d'un logiciel malveillant, et indique ainsi un problème de sécurité potentiel.
UTILISATION DE SEIM
LES FONCTIONNALITES DE SEIM La corrélation: Des événements de plusieurs sources peuvent être combinés et comparés afin d’identifier des patterns de comportement invisibles avec une simple analyse. La normalisation: Les données collectées par le SIEM seront uniformisées dans un format unique. Cette étape permet un traitement optimal pour les phases d'agrégation et corrélation des évènements
Les avantages de SEIM  visibilité étendue Efficacité pour la détection et identification des incidents Réduire l impact des brèches de sécurité Génère des rapports bien détaillé ;analyse des logs …………….
SEIM SOLUTIONS • SEIM SOLUTION collecté les informations et les évènements de différentes sources: • Host sytstem/Web servers • Les équipements de sécurité • Routing Device • Applications • Tous les données seront indexé et représentés dans une plateforme centrale
SPLUNK
TO SEIM
TOP 10 SEIM SOLUTIONS
ELK • La stack ELK est un acronyme utilisé pour décrire une pile qui comprend trois projets open sources populaires : Elasticsearch, Logstash et Kibana. Elle est la principale solution open source de gestion des logs pour les entreprises qui souhaitent bénéficier des avantages d'une solution de journalisation centralisée.
• Logstash : outil d'intégration de données open source qui vous permet de collecter des données à partir d'une variété de sources, de les filtrer, les transformer et de les envoyer à la destination souhaitée (ex: Elasticsearch). Son but principal est de rassembler et normaliser tous les types de données provenant de différentes sources et de les rendre disponibles pour une utilisation ultérieure • Elasticsearch: Il propose également des requêtes avancées pour effectuer une analyse détaillée et stocke toutes les données de manière centralisée. Il est également utilisé sur de nombreux projets hors la suite ELK car il permet d'exécuter une recherche rapide des documents. • Kibana : outil de visualisation de données qui complète la pile ELK , c'est une couche de visualisation qui
SEIM OPN SOURCE : ELK stack • ELK est une suite open source comprenant 3 composants principaux : Elasticsearch, Logstash et Kibana. • ELK permet l’indexation et l’analyse de données. • Vous pourrez par exemple charger différents types de données, comme vos logs, et les visualiser sous forme de diagrammes
Architecture de ELK • Beats : peut être installé sur les machines à monitorer en agent pour vous remonter les logs. • Logstash : permet l'agrégation des données dans Elasticsearch. • Elasticsearch : le composant principal, qui centralise les informations et y accède • Kibana : permet la création de dashboards et la visualisation des données dans ElasticSearch.
Comment fonctionne logstash • Il est capable d'extraire des données de presque n'importe quelle source de données à l'aide des plugins d'entrée, et d'appliquer une grande variété de transformations et d'améliorations de données à l'aide de plugins de filtre et enfin d'expédier ces données vers un grand nombre de destinations à l'aide de plugins de sortie. Vous comprendrez alors que Logstash joue un rôle très important dans la pile en récupérant, filtrant et expédiant vos données afin de les utiliser plus facilement sur le reste des composants.
Configuration de logstash • Le pipeline de traitement des événements Logstash comporte trois étapes : entrées → filtres → sorties. Les entrées génèrent des événements, les filtres les modifient et les sorties les expédient ailleurs.
Imputs • Vous utilisez des entrées pour obtenir des données dans Logstash. Certaines des entrées les plus couramment utilisées sont : • ==file • =syslog: ==beats
Les filtres : • Les filtres sont des dispositifs de traitement intermédiaires dans le pipeline Logstash. Vous pouvez combiner des filtres avec des conditions pour effectuer une action sur un événement s'il répond à certains critères. • grok : analyse et structure un texte arbitraire. Grok est actuellement le meilleur moyen dans Logstash d'analyser les données de journal non structurées en quelque chose de structuré et interrogeable.
output • Les sorties sont la phase finale du pipeline Logstash. Un événement peut passer par plusieurs sorties, mais une fois que tout le traitement des sorties est terminé, l'événement a terminé son exécution. Certaines sorties couramment utilisées incluent : • elasticsearch : envoie des données d'événement à Elasticsearch
• L'investigation numérique, ou digital forensic, consiste à utiliser des techniques spécialisées dans la recherche, la collecte et l'analyse de données issues de supports numériques. • L’investigation numérique peut couvrir différents aspects : • Investigation des systèmes de fichiers : analyse des systèmes de fichiers des endpoints à la recherche de signes de compromission. • Investigation de la mémoire : analyse de la mémoire à la recherche d’indicateurs d’attaque qui ne sont pas forcément présents dans le système de fichiers. • Investigation du réseau : analyse de l’activité réseau, notamment de la messagerie électronique, de la messagerie en ligne et de la navigation sur Internet, afin d’identifier les attaques, de comprendre les techniques d’attaque utilisées et de déterminer l’ampleur de l’incident.
Étape 1 — Identifiez le contexte et récupérez les informations • L’identification du contexte est une phase très importante, car elle permet d’obtenir des informations liées à l’incident de sécurité. Lors de cette phase, vous devrez rencontrer diverses personnes telles que les personnes de l’IT, les administrateurs, les responsables des machines infectées ou encore le RSSI. Ceci vous permettra d’orienter vos recherches pour ne pas faire fausse rout
Étape 2 — Collectez les supports numériques à analyser • Vous avez précédemment identifié le contexte de l’attaque et également des machines potentiellement compromises. La phase de collecte va permettre de copier les données pour pouvoir les analyser (copie de la mémoire vive, et copie du disque dur). Vous réaliserez des hashs des informations collectées. Cela permettra de réaliser l’analyse sur la copie sans altérer les données originales.
Étape 3 — Analysez les données collectées • Après avoir collecté les données, il faut maintenant les analyser. C'est la phase la plus technique de l'investigation. Dans cette phase, vous réaliserez la chronologie des évènements pour extraire la date et le moment précis de l’incident, ainsi que l’analyse des artefacts tels que les processus, le registre et le réseau. Une phase de triage sera également réalisée.
Étape 4 — Corrélation et reporting • Dans cette phase, vous présenterez dans un rapport le résultat de vos analyses. Vous présenterez de manière factuelle les éléments découverts. Vous indiquerez également les indicateurs de compromission et les recommandations à mettre en place pour améliorer la sécurité de l’entreprise.
Identifier les outils d’investigation du marché • Pour réaliser une analyse forensic de support numérique, il existe sur le marché des outils reconnus. • La société Guidance Software propose une suite d’utilitaires appelée Encase dédiée à l’analyse forensic, en passant de l’analyse du disque et au tri des données jusqu’à l’analyse des fichiers et le déchiffrement des volumes analysés. Les licences sont payantes et restent relativement chères. Toutefois, ce genre d’outil est largement utilisé par les experts judiciaires ou encore les organismes de police • Il existe également des outils hardware permettant la collecte de supports numériques sans altération des données, tels que des bloqueurs en écriture que nous avons évoqués plus haut.
Les bloqueurs d écrirute
La collecte des données • Il existe également des utilitaires gratuits ou open source qui sont très souvent utilisés lors d’analyses forensic: 1.Le framework The Sleuth Kit permet de réaliser une analyse forensic en passant de la génération d’une timeline au triage des données et à l’analyse des artefacts Windows (registre, email, historique…), jusqu’à la génération d’un rapport. Il comporte une interface graphique appelée Autopsy. 2.Les utilitaires Sysinternal de Microsoft sont également utilisés dans l’analyse forensic 3. Pour l’analyse de la mémoire vive, il existe également des frameworks tels que Volatility et Rekall. 4. Pour la copie des disques durs et de la RAM, il est possible d’utiliser le freeware FTK Imager Lite.
Collectez les informations de base pour l’investigation • Les formats de collecte de données: • La phase de collecte des données, ou encore « l’acquisition », est la phase qui doit permettre de copier les données volatiles et non volatiles sur un support externe, dans le but de réaliser une analyse approfondie par la suite.
Les formats de collecte de données • Les images RAW • Les images brutes, au format RAW, ne sont pas un format en soi, mais un bloc de données brutes reproduites à partir d’une image. Les images brutes ne contiennent aucune métadonnée supplémentaire en dehors des informations sur le fichier image lui-même (nom, taille, horodatage et autres informations). • Les formats de forensic • Les formats de forensic comportent des éléments supplémentaire tels que l’horodatage, les hash des images et d’autres métadonnées. Par ailleurs, il peut être nécessaire de compresser ou chiffrer une image acquise. Les formats de forensic facilitent la mise en œuvre de ces fonctionnalités. Vous retrouverez entre autres :
Les Formats de données • EnCase EWF, développé par Guidance Software, l’une des plus anciennes entreprises de logiciels de forensic. Il utilise le format EWF (Expert Witness Format) qui prend en charge les métadonnées, la compression, le chiffrement, le hachage, etc. ; • FTK Smart, par AccessData, est un concurrent direct d’EnCase EWF. Ce format propriétaire inclut également les métadonnées, la compression, le chiffrement, le hachage, etc. • AFF, pour Advanced Forensic Formatl en tant que format ouvert. Il comprend toutes les fonctionnalités attendues et inclut également des fonctionnalités de chiffrement et de signature utilisant des certificats X.509 standard.
Réalisez un dump mémoire • Dans le processus de forensic, il faut dans un premier temps collecter les données qui seront analysées par la suite. Dans la réalité, il se peut que vous ayez accès à la machine en cours de fonctionnement ; dans ce cas il faudra réaliser dans un premier temps un dump de la RAM pour collecter un instantané des processus en cours d'exécution. Cela vous permettra d'identifier un processus malveillant, par exemple
Récupérez les informations de base du disque pour l'analyse • Comment sont stockées les données sur un système Windows • Pour fonctionner correctement, un système d’exploitation à besoin d’un système de fichiers. Un système de fichiers est une partie obligatoire du système d'exploitation, qui détermine la manière dont les fichiers sont nommés, stockés et organisés sur un volume. • Pour stocker et organiser les données, Windows utilise le système de fichier NTFS (New Technology File System) développé par Microsof
MFT et métadonnées • la Master File Table (MFT, table de fichiers principale) est l'un des composants du système de fichiers de NTFS de Microsoft. • Élément principal d'une partition NTFS, il s'agit du premier fichier présent sur celle-ci (son nom exact est "$MFT"), il contient la liste de tous les fichiers stockés dans la partition. Cette liste est stockée sous la forme d'une série d'enregistrements.
• Le tableau suivant présente les fichiers système présents à la racine.
Identifiez les artefacts Windows d'intérêt pour l'investigation • Winndows est un système complexe qui est composé de plusieurs éléments permettant de comprendre les événements passés. Si vous savez où chercher, vous pourrez retrouver toutes les informations dont vous avez besoin pour réaliser votre investigation. • 1. Windows event logs: • Les event logs Windows sont des journaux qui répertorient chaque action de chaque application sur le système, tels que les messages d’erreur, d’information et de warning. Il est possible d’y accéder en utilisant l’outil natif Event Viewer ur extraire les event logs, il est possible d’utiliser FTK Imager. Sous Windows 7, les logs se situent dans le répertoire %SystemRoot%System32WinevtLogs.
Les services Les services Windows sont des applications qui démarrent généralement au démarrage de l'ordinateur et s'exécutent silencieusement en arrière- plan jusqu'à son arrêt. Les techniques de persistance permettent à un malware de se réexécuter même après que le système ait rebooté. Les techniques de persistance utilisées par les malwares sont nombreuses.
Les Prefetch • Les Prefetch sont des fichiers créés par le système lorsqu’une application s’exécute sur le système. Les fichiers Prefetch sont d'excellents artefacts pour analyser les applications exécutées sur un système.
• Le registre contient des informations auxquelles Windows fait constamment référence pendant son fonctionnement, telles que les profils de chaque utilisateur, les applications installées sur l'ordinateur et les types de documents que chacun peut créer, les propriétés des dossiers et des icônes d'application, le matériel existant sur le système, et les ports utilisés.
• SAM (gestionnaire de compte de sécurité) : contient toutes les informations de comptes utilisateurs et de droits d'accès ; • Sécurité : le noyau y accédera pour lire et appliquer la politique de sécurité applicable à l'utilisateur actuel et à toutes les applications ou opérations exécutées par cet utilisateur ; • Défaut : ruche utilisée par le compte système local. Utilisée par les programmes et services exécutés en tant que système local ; • Logiciel : contient le logiciel et les paramètres Windows, principalement modifiés par les installateurs d'applications et de systèmes ; • Ntuser.dat : contient les paramètres spécifiques à chaque utilisateur (les profils itinérants l'utilisent).
Répertoriez les indicateurs de compromission avec la matrice ATT&CK • Répertoriez les indicateurs de compromission avec la matrice ATT&CK • Le rapport d’investigation doit comprendre les indicateurs de compromission, ou IoC. Il s’agit des éléments découverts pendant l’analyse qui permettront de caractériser l’incident. Dans ce chapitre, nous verrons un peu plus en détail ce qu'est un indicateur de compromission, et comment les répertorier dans le rapport
Qu’est-ce qu’un indicateur de compromission (IoC) ? • Ube fois que les analyses ont été effectuées, il est important de créer des indicateurs de compromission permettant d’identifier des menaces similaires dans le futur. Ces indicateurs de compromission ont pour but de capitaliser les analyses effectuées afin d’accélérer les futures réponses sur incidents. Ces indicateurs peuvent également être partagés entre plusieurs entités.
IoC réseaux • Les IoC peuvent faire référence à une activité réseau malveillante, telle que la connexion à un serveur de commande et de contrôle. La connaissance de ces indicateurs permettra très rapidement de bloquer ces connexions pour contenir une menace sur tout un réseau. En analysant les trames réseau générées par un logiciel malveillant, il sera également possible de créer des règles IDS pour détecter de manière proactive une intrusion ou une connexion malveillante. • Les noms de domaines et URL font également partie de ces IoC.
Les hash de fichiers : • Les hash sont des empreintes uniques qui identifient des fichiers. Ces hash sont des IoC qui permettront d’identifier les fichiers malveillants sur une machine. Il peut également être utile d’identifier les répertoires d’écriture de ces fichiers sur le système.
Les adresses emails • Les adresses emails délivrant du spam, du phishing ou autre sont également des indicateurs de compromission qui pourront être bloqués sur les passerelles de messagerie. • Les actions sur le système : • Les actions menées sur le système par un logiciel malveillant peuvent également être des IoC. Par exemple, si le malware crée un service Windows en particulier, ou une clé registre
Répertoriez vos IoC • La matrice ATT&CK est une initiative du MITRE qui permet d’identifier les tactiques et les techniques utilisées par un attaquant. Elle fournit un ensemble de classifications permettant d’identifier les différentes phases d’une attaque, ainsi que les techniques utilisées pour chaque phase.

Recommandé

La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Cryptologie
Cryptologie Cryptologie
Cryptologie YAZIDI Imran
 
Cours cryptographie Master 1
Cours cryptographie Master 1Cours cryptographie Master 1
Cours cryptographie Master 1Papis NIANG
 
Présentation rattrapage module Forensic
Présentation rattrapage module ForensicPrésentation rattrapage module Forensic
Présentation rattrapage module ForensicESD Cybersecurity Academy
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Defense In Depth Using NIST 800-30
Defense In Depth Using NIST 800-30Defense In Depth Using NIST 800-30
Defense In Depth Using NIST 800-30Kevin M. Moker, CFE, CISSP, ISSMP, CISM
 
Implémentation des principaux algorithmes de chiffrements en Java
Implémentation des principaux algorithmes de chiffrements en JavaImplémentation des principaux algorithmes de chiffrements en Java
Implémentation des principaux algorithmes de chiffrements en JavaIbn Tofail University
 

Recommandé

La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023Lisa Lombardi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Cryptologie
Cryptologie Cryptologie
Cryptologie YAZIDI Imran
 
Cours cryptographie Master 1
Cours cryptographie Master 1Cours cryptographie Master 1
Cours cryptographie Master 1Papis NIANG
 
Présentation rattrapage module Forensic
Présentation rattrapage module ForensicPrésentation rattrapage module Forensic
Présentation rattrapage module ForensicESD Cybersecurity Academy
 
EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19EBIOS RM - Cryptovirus & COVID-19
EBIOS RM - Cryptovirus & COVID-19Thierry Pertus
 
Defense In Depth Using NIST 800-30
Defense In Depth Using NIST 800-30Defense In Depth Using NIST 800-30
Defense In Depth Using NIST 800-30Kevin M. Moker, CFE, CISSP, ISSMP, CISM
 
Implémentation des principaux algorithmes de chiffrements en Java
Implémentation des principaux algorithmes de chiffrements en JavaImplémentation des principaux algorithmes de chiffrements en Java
Implémentation des principaux algorithmes de chiffrements en JavaIbn Tofail University
 
Tenable_One_Sales_Presentation_for_Customers.pptx
Tenable_One_Sales_Presentation_for_Customers.pptxTenable_One_Sales_Presentation_for_Customers.pptx
Tenable_One_Sales_Presentation_for_Customers.pptxalex hincapie
 
Basic Malware Analysis
Basic Malware AnalysisBasic Malware Analysis
Basic Malware AnalysisAlbert Hui
 
Secure lab setup for cyber security
Secure lab setup for cyber securitySecure lab setup for cyber security
Secure lab setup for cyber securityBirju Tank
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
BigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataBigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataLilia Sfaxi
 
5.3 Régression logistique
5.3 Régression logistique5.3 Régression logistique
5.3 Régression logistiqueBoris Guarisma
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITESINCLAIR JAZA FOLEFACK
 
Containerizing your Security Operations Center
Containerizing your Security Operations CenterContainerizing your Security Operations Center
Containerizing your Security Operations CenterJimmy Mesta
 
Top Cybersecurity Threats and How SIEM Protects Against Them
Top Cybersecurity Threats and How SIEM Protects Against ThemTop Cybersecurity Threats and How SIEM Protects Against Them
Top Cybersecurity Threats and How SIEM Protects Against ThemSBWebinars
 
Threat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk ProgramsThreat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk ProgramsRahul Neel Mani
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONJUNIOR SORO
 
SIEM Primer:
SIEM Primer:SIEM Primer:
SIEM Primer:Anton Chuvakin
 
5.5 Clustering
5.5 Clustering5.5 Clustering
5.5 ClusteringBoris Guarisma
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM ArchitectureNishanth Kumar Pathi
 
IBM QRadar UBA
IBM QRadar UBA IBM QRadar UBA
IBM QRadar UBA IBM Security
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
Digital Forensic - Informatique légale
Digital Forensic - Informatique légaleDigital Forensic - Informatique légale
Digital Forensic - Informatique légaleEdem ALOMATSI
 
Alamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAHAlamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAHBrandon DeVault
 
Telecharger Cours Systèmes d’exploitation windows: Administration Windows
Telecharger Cours Systèmes d’exploitation windows: Administration WindowsTelecharger Cours Systèmes d’exploitation windows: Administration Windows
Telecharger Cours Systèmes d’exploitation windows: Administration Windowswebreaker
 
Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatiqueMozes Pierre
 
Reconnaissance
ReconnaissanceReconnaissance
ReconnaissanceAbdul Baacit Coulibaly
 

Contenu connexe

Tendances

Tenable_One_Sales_Presentation_for_Customers.pptx
Tenable_One_Sales_Presentation_for_Customers.pptxTenable_One_Sales_Presentation_for_Customers.pptx
Tenable_One_Sales_Presentation_for_Customers.pptxalex hincapie
 
Basic Malware Analysis
Basic Malware AnalysisBasic Malware Analysis
Basic Malware AnalysisAlbert Hui
 
Secure lab setup for cyber security
Secure lab setup for cyber securitySecure lab setup for cyber security
Secure lab setup for cyber securityBirju Tank
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
BigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataBigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataLilia Sfaxi
 
5.3 Régression logistique
5.3 Régression logistique5.3 Régression logistique
5.3 Régression logistiqueBoris Guarisma
 
Containerizing your Security Operations Center
Containerizing your Security Operations CenterContainerizing your Security Operations Center
Containerizing your Security Operations CenterJimmy Mesta
 
Top Cybersecurity Threats and How SIEM Protects Against Them
Top Cybersecurity Threats and How SIEM Protects Against ThemTop Cybersecurity Threats and How SIEM Protects Against Them
Top Cybersecurity Threats and How SIEM Protects Against ThemSBWebinars
 
Threat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk ProgramsThreat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk ProgramsRahul Neel Mani
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONJUNIOR SORO
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritépolenumerique33
 
Digital Forensic - Informatique légale
Digital Forensic - Informatique légaleDigital Forensic - Informatique légale
Digital Forensic - Informatique légaleEdem ALOMATSI
 
Alamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAHAlamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAHBrandon DeVault
 
Telecharger Cours Systèmes d’exploitation windows: Administration Windows
Telecharger Cours Systèmes d’exploitation windows: Administration WindowsTelecharger Cours Systèmes d’exploitation windows: Administration Windows
Telecharger Cours Systèmes d’exploitation windows: Administration Windowswebreaker
 

Tendances (20)

Tenable_One_Sales_Presentation_for_Customers.pptx
Tenable_One_Sales_Presentation_for_Customers.pptxTenable_One_Sales_Presentation_for_Customers.pptx
Tenable_One_Sales_Presentation_for_Customers.pptx
 
Basic Malware Analysis
Basic Malware AnalysisBasic Malware Analysis
Basic Malware Analysis
 
Secure lab setup for cyber security
Secure lab setup for cyber securitySecure lab setup for cyber security
Secure lab setup for cyber security
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
BigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big DataBigData_Chp1: Introduction à la Big Data
BigData_Chp1: Introduction à la Big Data
 
5.3 Régression logistique
5.3 Régression logistique5.3 Régression logistique
5.3 Régression logistique
 
ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
 
Containerizing your Security Operations Center
Containerizing your Security Operations CenterContainerizing your Security Operations Center
Containerizing your Security Operations Center
 
Top Cybersecurity Threats and How SIEM Protects Against Them
Top Cybersecurity Threats and How SIEM Protects Against ThemTop Cybersecurity Threats and How SIEM Protects Against Them
Top Cybersecurity Threats and How SIEM Protects Against Them
 
Threat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk ProgramsThreat Intelligence in Cyber Risk Programs
Threat Intelligence in Cyber Risk Programs
 
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATIONPRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
PRESENTATION DE LA RECONNAISSANCE - COLLECTE D'INFORMATION
 
SIEM Primer:
SIEM Primer:SIEM Primer:
SIEM Primer:
 
5.5 Clustering
5.5 Clustering5.5 Clustering
5.5 Clustering
 
SIEM Architecture
SIEM ArchitectureSIEM Architecture
SIEM Architecture
 
IBM QRadar UBA
IBM QRadar UBA IBM QRadar UBA
IBM QRadar UBA
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
Digital Forensic - Informatique légale
Digital Forensic - Informatique légaleDigital Forensic - Informatique légale
Digital Forensic - Informatique légale
 
Alamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAHAlamo ACE - Threat Hunting with CVAH
Alamo ACE - Threat Hunting with CVAH
 
Telecharger Cours Systèmes d’exploitation windows: Administration Windows
Telecharger Cours Systèmes d’exploitation windows: Administration WindowsTelecharger Cours Systèmes d’exploitation windows: Administration Windows
Telecharger Cours Systèmes d’exploitation windows: Administration Windows
 

Similaire à seim.pptx

Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatiqueMozes Pierre
 
TP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdfTP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdffatima117475
 
SplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunk
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoringKhalifa Tall
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Technet France
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011infcom
 
Salesforce Einstein analytics - Formation sur les-bases - By iMalka
Salesforce Einstein analytics - Formation sur les-bases - By iMalkaSalesforce Einstein analytics - Formation sur les-bases - By iMalka
Salesforce Einstein analytics - Formation sur les-bases - By iMalkaIlan Malka
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerNetExplorer
 
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdfcoursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdfRihabBENLAMINE
 
Mdl ocsinventory 20100330
Mdl ocsinventory 20100330Mdl ocsinventory 20100330
Mdl ocsinventory 20100330robertpluss
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
 
360Eyes Business Objects metadonnées
360Eyes Business Objects metadonnées360Eyes Business Objects metadonnées
360Eyes Business Objects metadonnéesSebastien Goiffon
 
Data mining for the evaluation of AODV and DSDV protocols in AD-HOC topologies
Data mining for the evaluation of AODV and DSDV protocols in AD-HOC topologiesData mining for the evaluation of AODV and DSDV protocols in AD-HOC topologies
Data mining for the evaluation of AODV and DSDV protocols in AD-HOC topologiesEmna Trabelsi
 
Exposé sur la maintenance d'un réseau
Exposé sur la maintenance d'un réseauExposé sur la maintenance d'un réseau
Exposé sur la maintenance d'un réseauAbdel Ali El Mahjoub
 

Similaire à seim.pptx (20)

Les bases de la securité informatique
Les bases de la securité informatiqueLes bases de la securité informatique
Les bases de la securité informatique
 
Reconnaissance
ReconnaissanceReconnaissance
Reconnaissance
 
TP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdfTP1 analyse de mémoire.pdf
TP1 analyse de mémoire.pdf
 
SplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data InSplunkLive! Paris 2018: Getting Data In
SplunkLive! Paris 2018: Getting Data In
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup June
 
Windows Forensics
Windows ForensicsWindows Forensics
Windows Forensics
 
Intelligence économique : Le monitoring
Intelligence économique : Le monitoringIntelligence économique : Le monitoring
Intelligence économique : Le monitoring
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
 
Salesforce Einstein analytics - Formation sur les-bases - By iMalka
Salesforce Einstein analytics - Formation sur les-bases - By iMalkaSalesforce Einstein analytics - Formation sur les-bases - By iMalka
Salesforce Einstein analytics - Formation sur les-bases - By iMalka
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
 
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdfcoursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
coursystemedexploitaionsghaieranouar-150103105816-conversion-gate01.pdf
 
Mdl ocsinventory 20100330
Mdl ocsinventory 20100330Mdl ocsinventory 20100330
Mdl ocsinventory 20100330
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
 
360Eyes Business Objects metadonnées
360Eyes Business Objects metadonnées360Eyes Business Objects metadonnées
360Eyes Business Objects metadonnées
 
Data mining for the evaluation of AODV and DSDV protocols in AD-HOC topologies
Data mining for the evaluation of AODV and DSDV protocols in AD-HOC topologiesData mining for the evaluation of AODV and DSDV protocols in AD-HOC topologies
Data mining for the evaluation of AODV and DSDV protocols in AD-HOC topologies
 
Exposé sur la maintenance d'un réseau
Exposé sur la maintenance d'un réseauExposé sur la maintenance d'un réseau
Exposé sur la maintenance d'un réseau
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 

Dernier

Bidirectional Encoder Representations from Transformers
Bidirectional Encoder Representations from TransformersBidirectional Encoder Representations from Transformers
Bidirectional Encoder Representations from Transformersbahija babzine
 
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...France Travail
 
Les Français, l'Europe et Emmanuel Macron
Les Français, l'Europe et Emmanuel MacronLes Français, l'Europe et Emmanuel Macron
Les Français, l'Europe et Emmanuel Macroncontact Elabe
 
To_understand_transformers_together presentation
To_understand_transformers_together presentationTo_understand_transformers_together presentation
To_understand_transformers_together presentationbahija babzine
 
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel AttalELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attalcontact Elabe
 
Le contrôle de la recherche d'emploi en 2023
Le contrôle de la recherche d'emploi en 2023Le contrôle de la recherche d'emploi en 2023
Le contrôle de la recherche d'emploi en 2023France Travail
 
Recurrent neural network_PresentationRNN.pptx
Recurrent neural network_PresentationRNN.pptxRecurrent neural network_PresentationRNN.pptx
Recurrent neural network_PresentationRNN.pptxbahija babzine
 

Dernier (7)

Bidirectional Encoder Representations from Transformers
Bidirectional Encoder Representations from TransformersBidirectional Encoder Representations from Transformers
Bidirectional Encoder Representations from Transformers
 
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
Montant moyen du droit d'allocation chômage versé aux demandeurs d'emploi ind...
 
Les Français, l'Europe et Emmanuel Macron
Les Français, l'Europe et Emmanuel MacronLes Français, l'Europe et Emmanuel Macron
Les Français, l'Europe et Emmanuel Macron
 
To_understand_transformers_together presentation
To_understand_transformers_together presentationTo_understand_transformers_together presentation
To_understand_transformers_together presentation
 
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel AttalELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
ELABE BFMTV L'Opinion en direct - Les Français et les 100 jours de Gabriel Attal
 
Le contrôle de la recherche d'emploi en 2023
Le contrôle de la recherche d'emploi en 2023Le contrôle de la recherche d'emploi en 2023
Le contrôle de la recherche d'emploi en 2023
 
Recurrent neural network_PresentationRNN.pptx
Recurrent neural network_PresentationRNN.pptxRecurrent neural network_PresentationRNN.pptx
Recurrent neural network_PresentationRNN.pptx
 

seim.pptx

  • 2. SEIM • Le SIEM, de l'anglais Security Information and Event Management, est une solution de gestion des évènements (logs) du système d'information. Cet outil permet de collecter en temps réel les logs de diverses sources (poste de travail, serveur, pare-feu, etc.), de les analyser et de les corréler, dans l'objectif de détecter des incidents de sécurité ou des anomalies. • Fournir des rapports sur les incidents et événements liés à la sécurité : les connexions réussies et échouées, l'activité des logiciels malveillants et d'autres activités malveillantes possibles. • Envoyer des alertes si l'analyse montre qu'une activité s'exécute sur des ensembles de règles prédéterminées, comme par exemple l'exécution d'un logiciel malveillant, et indique ainsi un problème de sécurité potentiel.
  • 4. LES FONCTIONNALITES DE SEIM La corrélation: Des événements de plusieurs sources peuvent être combinés et comparés afin d’identifier des patterns de comportement invisibles avec une simple analyse. La normalisation: Les données collectées par le SIEM seront uniformisées dans un format unique. Cette étape permet un traitement optimal pour les phases d'agrégation et corrélation des évènements
  • 5. Les avantages de SEIM  visibilité étendue Efficacité pour la détection et identification des incidents Réduire l impact des brèches de sécurité Génère des rapports bien détaillé ;analyse des logs …………….
  • 6. SEIM SOLUTIONS • SEIM SOLUTION collecté les informations et les évènements de différentes sources: • Host sytstem/Web servers • Les équipements de sécurité • Routing Device • Applications • Tous les données seront indexé et représentés dans une plateforme centrale
  • 9. TOP 10 SEIM SOLUTIONS
  • 10. ELK • La stack ELK est un acronyme utilisé pour décrire une pile qui comprend trois projets open sources populaires : Elasticsearch, Logstash et Kibana. Elle est la principale solution open source de gestion des logs pour les entreprises qui souhaitent bénéficier des avantages d'une solution de journalisation centralisée.
  • 11. • Logstash : outil d'intégration de données open source qui vous permet de collecter des données à partir d'une variété de sources, de les filtrer, les transformer et de les envoyer à la destination souhaitée (ex: Elasticsearch). Son but principal est de rassembler et normaliser tous les types de données provenant de différentes sources et de les rendre disponibles pour une utilisation ultérieure • Elasticsearch: Il propose également des requêtes avancées pour effectuer une analyse détaillée et stocke toutes les données de manière centralisée. Il est également utilisé sur de nombreux projets hors la suite ELK car il permet d'exécuter une recherche rapide des documents. • Kibana : outil de visualisation de données qui complète la pile ELK , c'est une couche de visualisation qui
  • 12. SEIM OPN SOURCE : ELK stack • ELK est une suite open source comprenant 3 composants principaux : Elasticsearch, Logstash et Kibana. • ELK permet l’indexation et l’analyse de données. • Vous pourrez par exemple charger différents types de données, comme vos logs, et les visualiser sous forme de diagrammes
  • 13.
  • 14.
  • 15. Architecture de ELK • Beats : peut être installé sur les machines à monitorer en agent pour vous remonter les logs. • Logstash : permet l'agrégation des données dans Elasticsearch. • Elasticsearch : le composant principal, qui centralise les informations et y accède • Kibana : permet la création de dashboards et la visualisation des données dans ElasticSearch.
  • 16. Comment fonctionne logstash • Il est capable d'extraire des données de presque n'importe quelle source de données à l'aide des plugins d'entrée, et d'appliquer une grande variété de transformations et d'améliorations de données à l'aide de plugins de filtre et enfin d'expédier ces données vers un grand nombre de destinations à l'aide de plugins de sortie. Vous comprendrez alors que Logstash joue un rôle très important dans la pile en récupérant, filtrant et expédiant vos données afin de les utiliser plus facilement sur le reste des composants.
  • 17. Configuration de logstash • Le pipeline de traitement des événements Logstash comporte trois étapes : entrées → filtres → sorties. Les entrées génèrent des événements, les filtres les modifient et les sorties les expédient ailleurs.
  • 18. Imputs • Vous utilisez des entrées pour obtenir des données dans Logstash. Certaines des entrées les plus couramment utilisées sont : • ==file • =syslog: ==beats
  • 19.
  • 20. Les filtres : • Les filtres sont des dispositifs de traitement intermédiaires dans le pipeline Logstash. Vous pouvez combiner des filtres avec des conditions pour effectuer une action sur un événement s'il répond à certains critères. • grok : analyse et structure un texte arbitraire. Grok est actuellement le meilleur moyen dans Logstash d'analyser les données de journal non structurées en quelque chose de structuré et interrogeable.
  • 21. output • Les sorties sont la phase finale du pipeline Logstash. Un événement peut passer par plusieurs sorties, mais une fois que tout le traitement des sorties est terminé, l'événement a terminé son exécution. Certaines sorties couramment utilisées incluent : • elasticsearch : envoie des données d'événement à Elasticsearch
  • 22. • L'investigation numérique, ou digital forensic, consiste à utiliser des techniques spécialisées dans la recherche, la collecte et l'analyse de données issues de supports numériques. • L’investigation numérique peut couvrir différents aspects : • Investigation des systèmes de fichiers : analyse des systèmes de fichiers des endpoints à la recherche de signes de compromission. • Investigation de la mémoire : analyse de la mémoire à la recherche d’indicateurs d’attaque qui ne sont pas forcément présents dans le système de fichiers. • Investigation du réseau : analyse de l’activité réseau, notamment de la messagerie électronique, de la messagerie en ligne et de la navigation sur Internet, afin d’identifier les attaques, de comprendre les techniques d’attaque utilisées et de déterminer l’ampleur de l’incident.
  • 23. Étape 1 — Identifiez le contexte et récupérez les informations • L’identification du contexte est une phase très importante, car elle permet d’obtenir des informations liées à l’incident de sécurité. Lors de cette phase, vous devrez rencontrer diverses personnes telles que les personnes de l’IT, les administrateurs, les responsables des machines infectées ou encore le RSSI. Ceci vous permettra d’orienter vos recherches pour ne pas faire fausse rout
  • 24. Étape 2 — Collectez les supports numériques à analyser • Vous avez précédemment identifié le contexte de l’attaque et également des machines potentiellement compromises. La phase de collecte va permettre de copier les données pour pouvoir les analyser (copie de la mémoire vive, et copie du disque dur). Vous réaliserez des hashs des informations collectées. Cela permettra de réaliser l’analyse sur la copie sans altérer les données originales.
  • 25. Étape 3 — Analysez les données collectées • Après avoir collecté les données, il faut maintenant les analyser. C'est la phase la plus technique de l'investigation. Dans cette phase, vous réaliserez la chronologie des évènements pour extraire la date et le moment précis de l’incident, ainsi que l’analyse des artefacts tels que les processus, le registre et le réseau. Une phase de triage sera également réalisée.
  • 26. Étape 4 — Corrélation et reporting • Dans cette phase, vous présenterez dans un rapport le résultat de vos analyses. Vous présenterez de manière factuelle les éléments découverts. Vous indiquerez également les indicateurs de compromission et les recommandations à mettre en place pour améliorer la sécurité de l’entreprise.
  • 27. Identifier les outils d’investigation du marché • Pour réaliser une analyse forensic de support numérique, il existe sur le marché des outils reconnus. • La société Guidance Software propose une suite d’utilitaires appelée Encase dédiée à l’analyse forensic, en passant de l’analyse du disque et au tri des données jusqu’à l’analyse des fichiers et le déchiffrement des volumes analysés. Les licences sont payantes et restent relativement chères. Toutefois, ce genre d’outil est largement utilisé par les experts judiciaires ou encore les organismes de police • Il existe également des outils hardware permettant la collecte de supports numériques sans altération des données, tels que des bloqueurs en écriture que nous avons évoqués plus haut.
  • 28. Les bloqueurs d écrirute
  • 29. La collecte des données • Il existe également des utilitaires gratuits ou open source qui sont très souvent utilisés lors d’analyses forensic: 1.Le framework The Sleuth Kit permet de réaliser une analyse forensic en passant de la génération d’une timeline au triage des données et à l’analyse des artefacts Windows (registre, email, historique…), jusqu’à la génération d’un rapport. Il comporte une interface graphique appelée Autopsy. 2.Les utilitaires Sysinternal de Microsoft sont également utilisés dans l’analyse forensic 3. Pour l’analyse de la mémoire vive, il existe également des frameworks tels que Volatility et Rekall. 4. Pour la copie des disques durs et de la RAM, il est possible d’utiliser le freeware FTK Imager Lite.
  • 30. Collectez les informations de base pour l’investigation • Les formats de collecte de données: • La phase de collecte des données, ou encore « l’acquisition », est la phase qui doit permettre de copier les données volatiles et non volatiles sur un support externe, dans le but de réaliser une analyse approfondie par la suite.
  • 31. Les formats de collecte de données • Les images RAW • Les images brutes, au format RAW, ne sont pas un format en soi, mais un bloc de données brutes reproduites à partir d’une image. Les images brutes ne contiennent aucune métadonnée supplémentaire en dehors des informations sur le fichier image lui-même (nom, taille, horodatage et autres informations). • Les formats de forensic • Les formats de forensic comportent des éléments supplémentaire tels que l’horodatage, les hash des images et d’autres métadonnées. Par ailleurs, il peut être nécessaire de compresser ou chiffrer une image acquise. Les formats de forensic facilitent la mise en œuvre de ces fonctionnalités. Vous retrouverez entre autres :
  • 32. Les Formats de données • EnCase EWF, développé par Guidance Software, l’une des plus anciennes entreprises de logiciels de forensic. Il utilise le format EWF (Expert Witness Format) qui prend en charge les métadonnées, la compression, le chiffrement, le hachage, etc. ; • FTK Smart, par AccessData, est un concurrent direct d’EnCase EWF. Ce format propriétaire inclut également les métadonnées, la compression, le chiffrement, le hachage, etc. • AFF, pour Advanced Forensic Formatl en tant que format ouvert. Il comprend toutes les fonctionnalités attendues et inclut également des fonctionnalités de chiffrement et de signature utilisant des certificats X.509 standard.
  • 33. Réalisez un dump mémoire • Dans le processus de forensic, il faut dans un premier temps collecter les données qui seront analysées par la suite. Dans la réalité, il se peut que vous ayez accès à la machine en cours de fonctionnement ; dans ce cas il faudra réaliser dans un premier temps un dump de la RAM pour collecter un instantané des processus en cours d'exécution. Cela vous permettra d'identifier un processus malveillant, par exemple
  • 34. Récupérez les informations de base du disque pour l'analyse • Comment sont stockées les données sur un système Windows • Pour fonctionner correctement, un système d’exploitation à besoin d’un système de fichiers. Un système de fichiers est une partie obligatoire du système d'exploitation, qui détermine la manière dont les fichiers sont nommés, stockés et organisés sur un volume. • Pour stocker et organiser les données, Windows utilise le système de fichier NTFS (New Technology File System) développé par Microsof
  • 35. MFT et métadonnées • la Master File Table (MFT, table de fichiers principale) est l'un des composants du système de fichiers de NTFS de Microsoft. • Élément principal d'une partition NTFS, il s'agit du premier fichier présent sur celle-ci (son nom exact est "$MFT"), il contient la liste de tous les fichiers stockés dans la partition. Cette liste est stockée sous la forme d'une série d'enregistrements.
  • 36. • Le tableau suivant présente les fichiers système présents à la racine.
  • 37. Identifiez les artefacts Windows d'intérêt pour l'investigation • Winndows est un système complexe qui est composé de plusieurs éléments permettant de comprendre les événements passés. Si vous savez où chercher, vous pourrez retrouver toutes les informations dont vous avez besoin pour réaliser votre investigation. • 1. Windows event logs: • Les event logs Windows sont des journaux qui répertorient chaque action de chaque application sur le système, tels que les messages d’erreur, d’information et de warning. Il est possible d’y accéder en utilisant l’outil natif Event Viewer ur extraire les event logs, il est possible d’utiliser FTK Imager. Sous Windows 7, les logs se situent dans le répertoire %SystemRoot%System32WinevtLogs.
  • 38. Les services Les services Windows sont des applications qui démarrent généralement au démarrage de l'ordinateur et s'exécutent silencieusement en arrière- plan jusqu'à son arrêt. Les techniques de persistance permettent à un malware de se réexécuter même après que le système ait rebooté. Les techniques de persistance utilisées par les malwares sont nombreuses.
  • 39. Les Prefetch • Les Prefetch sont des fichiers créés par le système lorsqu’une application s’exécute sur le système. Les fichiers Prefetch sont d'excellents artefacts pour analyser les applications exécutées sur un système.
  • 40. • Le registre contient des informations auxquelles Windows fait constamment référence pendant son fonctionnement, telles que les profils de chaque utilisateur, les applications installées sur l'ordinateur et les types de documents que chacun peut créer, les propriétés des dossiers et des icônes d'application, le matériel existant sur le système, et les ports utilisés.
  • 41. • SAM (gestionnaire de compte de sécurité) : contient toutes les informations de comptes utilisateurs et de droits d'accès ; • Sécurité : le noyau y accédera pour lire et appliquer la politique de sécurité applicable à l'utilisateur actuel et à toutes les applications ou opérations exécutées par cet utilisateur ; • Défaut : ruche utilisée par le compte système local. Utilisée par les programmes et services exécutés en tant que système local ; • Logiciel : contient le logiciel et les paramètres Windows, principalement modifiés par les installateurs d'applications et de systèmes ; • Ntuser.dat : contient les paramètres spécifiques à chaque utilisateur (les profils itinérants l'utilisent).
  • 42. Répertoriez les indicateurs de compromission avec la matrice ATT&CK • Répertoriez les indicateurs de compromission avec la matrice ATT&CK • Le rapport d’investigation doit comprendre les indicateurs de compromission, ou IoC. Il s’agit des éléments découverts pendant l’analyse qui permettront de caractériser l’incident. Dans ce chapitre, nous verrons un peu plus en détail ce qu'est un indicateur de compromission, et comment les répertorier dans le rapport
  • 43. Qu’est-ce qu’un indicateur de compromission (IoC) ? • Ube fois que les analyses ont été effectuées, il est important de créer des indicateurs de compromission permettant d’identifier des menaces similaires dans le futur. Ces indicateurs de compromission ont pour but de capitaliser les analyses effectuées afin d’accélérer les futures réponses sur incidents. Ces indicateurs peuvent également être partagés entre plusieurs entités.
  • 44. IoC réseaux • Les IoC peuvent faire référence à une activité réseau malveillante, telle que la connexion à un serveur de commande et de contrôle. La connaissance de ces indicateurs permettra très rapidement de bloquer ces connexions pour contenir une menace sur tout un réseau. En analysant les trames réseau générées par un logiciel malveillant, il sera également possible de créer des règles IDS pour détecter de manière proactive une intrusion ou une connexion malveillante. • Les noms de domaines et URL font également partie de ces IoC.
  • 45. Les hash de fichiers : • Les hash sont des empreintes uniques qui identifient des fichiers. Ces hash sont des IoC qui permettront d’identifier les fichiers malveillants sur une machine. Il peut également être utile d’identifier les répertoires d’écriture de ces fichiers sur le système.
  • 46. Les adresses emails • Les adresses emails délivrant du spam, du phishing ou autre sont également des indicateurs de compromission qui pourront être bloqués sur les passerelles de messagerie. • Les actions sur le système : • Les actions menées sur le système par un logiciel malveillant peuvent également être des IoC. Par exemple, si le malware crée un service Windows en particulier, ou une clé registre
  • 47. Répertoriez vos IoC • La matrice ATT&CK est une initiative du MITRE qui permet d’identifier les tactiques et les techniques utilisées par un attaquant. Elle fournit un ensemble de classifications permettant d’identifier les différentes phases d’une attaque, ainsi que les techniques utilisées pour chaque phase.