Comprendre la sécurité web - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve.
La sécurité est une affaire de tous. Il est indispensable d'en prendre comprendre les concepts et de se protéger
Rétro-ingénierie de protocole crypto: Un "starter pack"Maxime Leblanc
Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.
Présentation utilisée lors de la journée de préconférence complète du MWCP 19 animée par les MVP Guillaume Mathieu et Sébastien Paulet sur le sujet de la sécurité sur M365 dans les locaux Microsoft France.
Quelles sont les attaques que peuvent subir les comptes O365/M365? Comment s'en prémunir?
Comprendre la sécurité web - Présentation effectuée à "Ubuntu Paris 1610" par Christophe Villeneuve.
La sécurité est une affaire de tous. Il est indispensable d'en prendre comprendre les concepts et de se protéger
Rétro-ingénierie de protocole crypto: Un "starter pack"Maxime Leblanc
Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.
Présentation utilisée lors de la journée de préconférence complète du MWCP 19 animée par les MVP Guillaume Mathieu et Sébastien Paulet sur le sujet de la sécurité sur M365 dans les locaux Microsoft France.
Quelles sont les attaques que peuvent subir les comptes O365/M365? Comment s'en prémunir?
Paris Web 2015 - Atelier désendettement Javascript legacyFrançois Petitit
par Michael Akbaraly et François Petitit - OCTO Technology
Vous avez récupéré un projet JavaScript de plusieurs milliers de lignes, on vous demande des évolutions et des corrections de bugs, et rien ne va.
Code illisible, régressions en pagaille, structure des répertoires incompréhensibles : vous ne savez pas par où commencer !
Au long des 90 minutes de cet atelier, nous vous proposons de découvrir les techniques et les outils qui vont vous sauver la vie via des travaux pratiques de code JavaScript côté back-end avec NodeJS, et côté front-end avec AngularJS.
Débutants ou ayant déjà une connaissance de ces technologies sont les bienvenus. Les travaux pratiques seront disponibles si vous souhaitez coder vous-mêmes pendant l'atelier.
Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.
Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.
Merci :)
Seyfallah Tagrerout
Cette présentation expose les techniques, outils et procédures mis en œuvre pour sécuriser l’hébergement des sites web de nos clients, tout en respectant les contraintes métiers liées à leurs activités.
Nous montrerons, par des exemples concrets et des retours d’expérience, comment nos experts ont mis en place une bonne stratégie de défense des sites web de nos clients face aux attaques ciblées ou opportunistes: anticipation, analyse et réponse.
Les différents types de contenu de la présentation :
- Articles by the Jedi Masters
- A monsterstash of API documentation
- Q&A for everything
- Downloads galore
- Videos by geeks and for geeks
- Upcoming events
Dans cette session on va voir comment refaire vos scripts PowerShell afin de pouvoir supporter la ModernAuth et pouvoir ne pas jeter aux oubliettes vos anciens scripts.
Support de présentation de la conférence du 17 Novembre 2009, organisée chez Microsoft et animée par Blue acacia, portant sur les best practices en matière de sécurité sur le développement et l’hébergement de sites Internet.
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireCyber Security Alliance
BurpSuite est un proxy utilisé (entre autres) pour l’audit d’applications Web. Ce couteau suisse (sans jeu de mot) de l’interception, de la modification et du rejeu de trafic HTTP(S) est très puissant et peut être utilisée dans de nombreux scénarios. Plusieurs cas d’usages tirés de tests intrusifs récents seront présentés, illustrant un principe basique : l’humain identifie des motifs, fait des recoupements, conçoit des pistes d’attaque et configure son outil. Toute le reste (émission en masse de requêtes, stockage des résultats, accès graphique intuitif, classification et manipulation de données, …) est délégué à l’outil.
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...Cyber Security Alliance
D’un coté nous avons les attaques avancées (ou pas), persistantes (ou pas) et de l’autre des administrateurs Windows. Cette présentation a pour but de fournir aux derniers une liste de points clefs leur permettant de détecter ces attaques et défendre leur infrastructure. Cette présentation suit les étapes qu’un attaquant pourrait suivre, à savoir, la prise d’empreintes, les tentatives d’accès, l’utilisation d’exploits et la post-exploitation avec exfiltration de données. Le tout en associant les points à surveiller pour chaque étapes. PowerShell étant voué à remplacer complétement les scripts bat et vbs, nous présenterons des scripts développés dans ce language pour la surveillance et défense d’un environnement Microsoft.
Industrialiser le contrat dans un projet PHPhalleck45
La notion de contrat intervient à tous les étages en PHP : du code source au besoin fonctionnel, en passant par la nécessité de travailler en équipe ou de fournir un travail clair et compréhensible. Petit tour d'horizon des outils qui vous permettront de vous assurer automatiquement que ces contrats sont bien respectés.
Conférences lors du rendez-vous AFUP Nantes du 29 octobre 2012
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
La formation complète est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-le-pki-avec-adcs-2012-r2
Au travers des modules couvrant la totalité des rôles ADCS 2012 R2 Microsoft, cette formation vous guide graduellement à l'expertise des architectures PKI Windows 2012 R2 qui constituent aujourd'hui la "pierre angulaire" de toutes stratégies de sécurité informatique.
Vous acquérez toutes les compétences et connaissances nécessaires pour planifier, déployer (avec automatisation), configurer, administrer, maintenir et dépanner, et implémenter des hiérarchies sécurisées d'autorités de certification pour une sécurité et une souplesse maximale de votre PKI.
Tous les modules sont illustrés de travaux pratiques pour une approche pragmatique et 100% concrète.
Les concepts cryptographiques sont également abordés pour une compréhension complète et claire de la gestion des certificats.
Cette formation est utile dans la préparation de certaines certifications Microsoft (70-412...).
Paris Web 2015 - Atelier désendettement Javascript legacyFrançois Petitit
par Michael Akbaraly et François Petitit - OCTO Technology
Vous avez récupéré un projet JavaScript de plusieurs milliers de lignes, on vous demande des évolutions et des corrections de bugs, et rien ne va.
Code illisible, régressions en pagaille, structure des répertoires incompréhensibles : vous ne savez pas par où commencer !
Au long des 90 minutes de cet atelier, nous vous proposons de découvrir les techniques et les outils qui vont vous sauver la vie via des travaux pratiques de code JavaScript côté back-end avec NodeJS, et côté front-end avec AngularJS.
Débutants ou ayant déjà une connaissance de ces technologies sont les bienvenus. Les travaux pratiques seront disponibles si vous souhaitez coder vous-mêmes pendant l'atelier.
Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.
Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.
Merci :)
Seyfallah Tagrerout
Cette présentation expose les techniques, outils et procédures mis en œuvre pour sécuriser l’hébergement des sites web de nos clients, tout en respectant les contraintes métiers liées à leurs activités.
Nous montrerons, par des exemples concrets et des retours d’expérience, comment nos experts ont mis en place une bonne stratégie de défense des sites web de nos clients face aux attaques ciblées ou opportunistes: anticipation, analyse et réponse.
Les différents types de contenu de la présentation :
- Articles by the Jedi Masters
- A monsterstash of API documentation
- Q&A for everything
- Downloads galore
- Videos by geeks and for geeks
- Upcoming events
Dans cette session on va voir comment refaire vos scripts PowerShell afin de pouvoir supporter la ModernAuth et pouvoir ne pas jeter aux oubliettes vos anciens scripts.
Support de présentation de la conférence du 17 Novembre 2009, organisée chez Microsoft et animée par Blue acacia, portant sur les best practices en matière de sécurité sur le développement et l’hébergement de sites Internet.
ASFWS 2013 - Optimiser ses attaques Web avec Burp par Nicolas GrégoireCyber Security Alliance
BurpSuite est un proxy utilisé (entre autres) pour l’audit d’applications Web. Ce couteau suisse (sans jeu de mot) de l’interception, de la modification et du rejeu de trafic HTTP(S) est très puissant et peut être utilisée dans de nombreux scénarios. Plusieurs cas d’usages tirés de tests intrusifs récents seront présentés, illustrant un principe basique : l’humain identifie des motifs, fait des recoupements, conçoit des pistes d’attaque et configure son outil. Toute le reste (émission en masse de requêtes, stockage des résultats, accès graphique intuitif, classification et manipulation de données, …) est délégué à l’outil.
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...Cyber Security Alliance
D’un coté nous avons les attaques avancées (ou pas), persistantes (ou pas) et de l’autre des administrateurs Windows. Cette présentation a pour but de fournir aux derniers une liste de points clefs leur permettant de détecter ces attaques et défendre leur infrastructure. Cette présentation suit les étapes qu’un attaquant pourrait suivre, à savoir, la prise d’empreintes, les tentatives d’accès, l’utilisation d’exploits et la post-exploitation avec exfiltration de données. Le tout en associant les points à surveiller pour chaque étapes. PowerShell étant voué à remplacer complétement les scripts bat et vbs, nous présenterons des scripts développés dans ce language pour la surveillance et défense d’un environnement Microsoft.
Industrialiser le contrat dans un projet PHPhalleck45
La notion de contrat intervient à tous les étages en PHP : du code source au besoin fonctionnel, en passant par la nécessité de travailler en équipe ou de fournir un travail clair et compréhensible. Petit tour d'horizon des outils qui vous permettront de vous assurer automatiquement que ces contrats sont bien respectés.
Conférences lors du rendez-vous AFUP Nantes du 29 octobre 2012
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
La formation complète est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-le-pki-avec-adcs-2012-r2
Au travers des modules couvrant la totalité des rôles ADCS 2012 R2 Microsoft, cette formation vous guide graduellement à l'expertise des architectures PKI Windows 2012 R2 qui constituent aujourd'hui la "pierre angulaire" de toutes stratégies de sécurité informatique.
Vous acquérez toutes les compétences et connaissances nécessaires pour planifier, déployer (avec automatisation), configurer, administrer, maintenir et dépanner, et implémenter des hiérarchies sécurisées d'autorités de certification pour une sécurité et une souplesse maximale de votre PKI.
Tous les modules sont illustrés de travaux pratiques pour une approche pragmatique et 100% concrète.
Les concepts cryptographiques sont également abordés pour une compréhension complète et claire de la gestion des certificats.
Cette formation est utile dans la préparation de certaines certifications Microsoft (70-412...).
Similaire à 2018 06 Demo Checkpoint et Splunk e-Xpert solutions (20)
Mise en place d'un Use Case d'Adaptive Authentication avec F5 APM et Insight ...e-Xpert Solutions SA
Afin d'éviter que l'utilisateur doit saisir son Multi-facteur (MFA) à chaque nouvelle authentification sur une application web, nous proposons une solution qui permet de vérifier la légitimé de la connexion. C'est seulement en cas de connexion potentiellement non légitime que l'utilisateur doit saisir son multi-facteur.
This document discusses Check Point's CloudGuard solution for securing cloud environments. It begins by noting concerns about cloud security from IT leaders and the need for new security models for the cloud. It then outlines CloudGuard's advanced threat prevention capabilities for cloud environments. The following sections describe how CloudGuard provides security across private, public, hybrid, and multi-cloud deployments using automation, orchestration, and a hub and spoke architecture. Check Point's cloud security blueprint aims to deliver agile, automatic, efficient, and controlled security that enables innovation across cloud platforms.
Check Point CloudGuard SaaS is a security solution that provides superior threat prevention for SaaS applications. It protects against the biggest threats to SaaS apps like account takeover and malware delivery. The solution prevents account takeovers through identity protection techniques like device verification and blocking unauthorized access attempts. It also protects against zero-day threats by scanning files and blocking malicious content from being accessed or shared through SaaS apps. The solution offers other capabilities like data leakage prevention, shadow IT discovery, threat intelligence, and simplified management.
Fédération d’identité : des concepts Théoriques aux études de cas d’implément...e-Xpert Solutions SA
The document discusses implementing a federated identity solution for a company to securely provide access to its B2B applications to 100,000 users including employees, business partners, and contractors. It covers the business needs and challenges, concepts of federated identity and single sign-on (SSO), the proposed technical architecture using standards like SAML, and strategies around user provisioning, access management and auditing for partners of different trust levels.
La mobilité s'impose et nous expose. Faut-il subir ou gérer ? L'évolution de la mobilité en entreprise présentée et agrémentée par des démonstrations d'attaque et par les moyens de ...
La fuite de données est un fléau pour les entreprises. De plus, l’émergence de la mobilité et du cloud augmentent les risques de perte ou vol de données confidentielles. Les approches traditionnelles ont montré leurs limites et laissent place à des solutions beaucoup plus pragmatiques.
Avoir sous la main à tout moment ses e-mails, documents professionnels, contacts devient une exigence universelle. Les Smartphones et tablettes numériques, plus « mobiles », prennent petit à petit le pas sur les ordinateurs traditionnels, non sans risques pour les entreprises.
Le déni de service existe depuis des années. Cependant, cette attaque retrouve un nouveau souffle avec son évolution, le DDoS (Distributed Denial of Service). Plus difficile à contrer, cette attaque cause également beaucoup plus de dégâts.
Sandboxing, une nouvelle défense contre les menaces intelligentese-Xpert Solutions SA
Les APT (Advanced Persistent Threats) sont des menaces réputées subtiles, intelligentes et dangereuses. Des protections standards utilisant la reconnaissance par signatures ne sont plus suffisantes. Des techniques comme le sandboxing sont alors nécessaires.
Séminaire e-Xpert Solutions : Que sont les Web Services et comment les sécuriser ?
Que sont les Web Services ?
Comment sécuriser les Web Services ?
Rappels sur Bee-Ware V5
i-Suite XML Firewall module
Démonstration de manipulation des flux XML
Démonstration d’attaque sur un Web Service
Séminaire e-Xpert Solutions : Sécurisation de la messagerie
L’évolution jusqu’à aujourd’hui
Nouvelles Solutions / Tendances
Chiffrement
Contrôle de la perte ou du vol d’information (DLP)
Démonstrations
Séminaire e-Xpert Solutions : Evolution des technologies d'authentification
Le mot de passe
Faiblesse d’utilisation du mot de passe statique
Attaques et vulnérabilités liées
L’authentification forte
Définition de l’authentification forte
One Time Password
Public Key Infrastructure et Biométrie
Tendances du marché
Corroboration
Transaction Data Signing
Risk Based Authentication
De nouveaux Standards
Initiative for Open authentication - OATH
OpenID / SAML
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
2018 06 Demo Checkpoint et Splunk e-Xpert solutions
1. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Demo – Check Point et Splunk
Ajout d’une access-rule et installation de la policy
2. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Objectif de la Démo
• Réponse automatique à incident de sécurité
• Short term containment
• Empêcher le poste compromis d’accéder aux machines du Datacenter
• Comment ?
• Depuis une alarme générée dans le SIEM
• Utilisation d’un script Python pour
• Se connecter à la Management Check Point
• Créer l’objet Host correspondant si celui-ci n’existe pas
• Créer une access-rule qui deny le host sur tout type de service
• Publier les changements
• Installer la policy
3. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Moyens mis en œuvre
• Collecte des logs Windows avec
WEC
• Workstations
• DC
• Member Servers
• SIEM - Utilisation de Splunk
Enterprise
• Centralisation des logs Windows
• Corrélation d’events
• Alerting
• Exécution de scripts custom
• Check Point
• API Management R80.10
• Security Gateway R80.10
4. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Exemple d’environnement Windows Event Collector
Domain Controlers
Workstations
Member servers
WEC server
Splunk
Indexer
Splunk
Indexer
5. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Lab Environment
6. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Workflow
Active Directory
DC
Bruteforce
sur le port
3389
Sharepoint
server
WEC server
WinEventLog:security
eventID 4625
LogonType 10
Events indexés dans
Splunk
Checkpoint
Firewall
Splunk
Splunk Alert
Engine
CKP Management
Block IP
172.20.204.100
Install
policy
1 2
3
4
6
172.20.204.100
sourcetype="wineventlog:security" EventID=4625
(LogonType="3" OR LogonType="10")| stats count
by src_ip dest_ip| where count > 15
7. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
R80.10 Management API - Fonctions utilisées
• Login --> authentification sur l’API
• Show-host --> vérifie l’existence d’un objet dans la policy
• Add-host --> ajout d’un objet dans la policy
• Show-access-rule --> vérifie l’existence d’une access rule dans la policy
• Add-access-rule --> ajout d’une access rule dans la policy
• Publish --> publication des changements effectués
• Install-policy --> installation de la policy
https://sc1.Check Point.com/documents/latest/APIs/index.html#introduction~v1.1%20
https://github.com/Check PointSW/cp_mgmt_api_python_sdk
8. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Demo – Check Point et Splunk
Enrichissement de data grâce à l’API SandBlast ThreatCloud
9. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
ThreatCloud – Qu’est ce que c’est ?
10. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Objectif de la Démo
• Enrichissement dynamique de données dans Splunk
• Quoi ?
• Les hash md5 des fichiers récupérés dans les event Sysmon
• Pourquoi ?
• Savoir si ceux-ci sont connus comme étant dangereux par Check Point
• Comment ?
• Grâce à une commande de lookup externe
• Utilisation d’un script Python pour
• Se connecter à l’API ThreatCloud
• Envoyer le hash du fichier
• Récupérer la réponse sous forme de nouveaux champs :
hash_signature et hash_status
11. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Structure de l’appel
• API_KEY = "TE_API_KEY_RdsptswloiyrZNXYbkQhuXr3maou475XFlKKbhXX"
• headers = { "Authorization": API_KEY, "Content-Type": "application/json" }
• url = "https://te.Check Point.com/tecloud/api/v1/file/query"
• POST json
{
"request": [
{
"md5": "8dfa1440953c3d93daafeae4a5daa326",
"features": [
"av"
]
}
]
}
12. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Structure de la réponse
{ "response":
{ "status": {
"code": 1001,
"label": "FOUND",
"message": "The requested data has been found."
},
"md5": "da855ff838250f45d528a5a05692f14e",
"features": [
"av"
],
"av": {
"malware_info": {
"signature_name": "Exploit.JS.Pdfka.fma.W.ygrku",
"malware_family": 22,
"malware_type": 104,
"sevirity": 4,
"confidence": 5
},
"status": {
"code": 1001,
"label": "FOUND",
"message": "The requested data has been found"
}
}
}
13. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
Use case
MAJ automatique d’acces rules
14. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
• Contexte
• Entreprise ayant toutes ses boites emails dans O365
• Antispam O365
• Les clients outlooks sont configurés pour envoyer/recevoir directement via
O365
• Les emails sortent directement par O365, aucune SMTP GW on prem
• Projet
• Projet de chiffrement des emails via la GW de chiffrement SMTP Totemomail
installée on premise
• La GW SMTP Totemomail doit être insérée dans le flux de mail : Outlook -->
O365 (cloud) --> Totemomail (on premise) --> O365 --> destinataire
• Les emails passant dans O365 sont chiffrés
15. V O T R E G U I D E E N S É C U R I T É I N F O R M A T I Q U E
• Problématique
• La GW Totemomail doit pouvoir être joignable depuis les serveurs O365
(Internet)
• Nous ne voulons pas exposer la GW Totemomail publiquement sur Internet
--> filtrage de l'accès à cette GW sur les IP des serveurs O365 uniquement
• Solution proposée
• Utilisation de l'API Check Point pour assurer le filtrage des accès à la GW
Totemomail on premise depuis les IP O365 uniquement
• Les IP O365 sont publiées et mises à jour par Microsoft
https://support.content.office.net/en-us/static/O365IPAddresses.xml
• Développement d'un script qui parse la liste d'IP/détecte les changements et
met à jour la politique Check Point