Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2)

Formation
Techniques de Blue Teaming
L'Essentiel pour l'Analyste SOC (2/2)
Une formation
Hamza KONDAH

Le Blue Teaming
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les
menaces et les cyberattaques
Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un
mindset proactif
Le Blue Teaming peut englober beaucoup de métiers
Analyste SOC
Incident Responder
Threat Hunter
Et même administrateurs 

Tâches d’une Blue Team
La réalisation d'une analyse de l'empreinte numérique (test d’exposition) de l’organisme
La mise en œuvre de solutions SIEM pour logger et analyser l'activité du réseau
Surveillance au niveau de l'hôte et du réseau
Prévenir les attaques de phishing
Analyse de risque
Threat Hunting
Durcissement réseaux et systèmes
Sensibilisation
Et bien plus encore …

Une formation
Connaissances requises
Avoir des connaissances de base en systèmes et réseaux
Avoir des connaissances de base en cybersécurité
Avoir suivi la première formation

Une formation
Plan de la formation
Introduction
1. Dompter le concept de journalisation
2. Déployer Sysmon pour enrichir les logs
3. Comprendre, déployer et configurer Osquery
4. Comprendre, déployer et configurer Zeek
5. Comprendre, déployer et configurer Suricata
6. Comprendre et implémenter des exercices d‘Adversary
Emulation
7. Exploiter des SIEM afin de détecter des menaces
8. Découvrir SIGMA pour la détection de menace
Conclusion

Une formation
Public concerné
Administrateurs systèmes et réseaux
Architectes systèmes et réseaux
Analyste SOC
Analyste Cyberdéfense
Consultant cybersécurité
Blue Teams
Toute personne intéressé par l’IT 

Rappel de l'architecture
du lab
Une formation
Hamza KONDAH

Configurations techniques
Machine Windows 10
Hyperviseur VMWARE Workstation Pro
16 Go de RAM
Processeur i7 8ème génération
500 SSD
Architecture du LAB

Introduire la notion
de journalisation
Une formation
Hamza KONDAH

LOGS = HORODATAGE + SOURCE + DATA

Introduction
Les logs représentent concrètement
un horodatage + une information représentant une trace d’une action
Cela inclus : Les activités des utilisateurs, des fichiers, processus, registres ou applications (et
plusieurs autres)
Toute activité aujourd'hui peut être corrélé et donc peut être exploité comme évènement de
sécurité
Avoir une stratégie de journalisation est impératif
la durée de rétention l’est encore plus

Mécanismes de transmission de logs
Syslog
Simple Network Management Protocol (SNMP)
Solutions propriétaire (WEL, eStreamer…)
Ces logs peuvent êtres analyées avec
Des outils basique (Grep, Tail, Head…)
Splunk
Elastic
Graylog

Appréhender le protocole
de journalisation Syslog
Une formation
Hamza KONDAH

Introduction
Syslog représente un protocole qui a était désigné comme un standard de messages de
journalisation RFC 5424
Il est présent dans quasiment toutes les plateformes
Défacto le standard pour linux
Windows  Windows event Logs
Port UDP 514 - TCP 1468 - TCP 6514
Fichiers de logs
/etc/syslog.conf
/var/log

Configuration
auth ou security Messages de sécurité et d'authentification
authpriv La même chose que précédemment, mais logs plus privés
cron Messages de crontab et de at
daemon Messages systémes générés par le daemon
ftp Messages du serveur ftp
kern Messages du noyau
lpr Messages du serveur d'impression
mail Messages du serveur de messagerie
news Messages du serveur de news
syslog Messages de syslog lui-même
user Messages générés par le programme en cours d'un utilisateur
uucp Messages UUCP

Sévérité
7 debug Messages de debogage
6 info Messages d'information
5 notice
Messages un peu plus importants que les
messages info
4 warning ou warn Messages d'avertissement
3 err Messages d'erreur
2 crit Situation critique
1 alert
Situation critique nécessitant une intervention
immédiate
0 emerg ou panic Système inutilisable

Structure d’un message syslog
Un message syslog se compose de 3 parties
Le PRI (le niveau de priorité calculé)
Le HEADER (en-tête comportant les informations d’identification)
Le MSG (le message lui-même)

Effectuer une analyse de log
Attaques Web
Une formation
Hamza KONDAH

Le format de logs Apache
Le serveur HTTP Apache fournit toute une variété de mécanismes différents
pour la journalisation de tout ce qui peut se passer au sein de votre serveur
Il existe deux principales catégories
Access log
Error Log
Format de log
192.168.24.5 - clarck [19/Oct/2021:11:15:14 -0700] "GET /password.pdf
HTTP/1.0" 200 2424
https://httpd.apache.org/docs/current/logs.html#common
Log level
https://httpd.apache.org/docs/current/mod/core.html#loglevel
Une formation

Effectuer une analyse de log
Détecter la création de nouveaux comptes
utilisateurs
Une formation
Hamza KONDAH

Effectuer une analyse de log Syslog
Attaques de brute forcing
Une formation
Hamza KONDAH

Maitriser la journalisation
sous Windows
Une formation
Hamza KONDAH

Une formation
Présentation
Format de journalisation Windows (Windows Event Log)
Extension .evtx (Windows XML Event Log).
Ils sont stockés au niveau des machines localement
Sur Windows Server 200 à WinXP/WinServer2003
C:WindowsSystem32
Sur Windows Server 2008 à 2019 et Windows Vista à
Win11
C:WindowsSystem32winevtLogs

Introduction
Les journaux d'événements Windows stockent des informations sur différents événements qui se
produisent dans le système
Les données sont généralement enregistrées sous quatre types de journaux d'événements
Windows
Système Application Installation Sécurité
Evènements forwardés

Structure du log
Nom du
log/Journal
Date et
heure de
l’event
Catégorie Event ID
Source Niveau Utilisateur Ordinateur

Une formation
Les niveaux d’évènements Windows
Les niveaux d'événement Windows indiquent la gravité ou
l'importance de l'événement enregistré
Ceux-ci sont classés comme suit
Information
Avertissement
Erreur
Critique

Une formation
Evènements intéressant

Effectuer une analyse de log Windows
Tentatives d'authentification et création
d'utilisateur
Une formation
Hamza KONDAH

Analyser les logs powershell
Une formation
Hamza KONDAH

Powershell
Microsoft définit PowerShell comme suit
"PowerShell® est un shell de ligne de commande basé sur les tâches et un langage
de script conçu spécialement pour l'administration système. Construit sur le .NET
Framework, Windows PowerShell aide les professionnels de l'informatique et les
utilisateurs expérimentés à contrôler et automatiser l'administration du système
d'exploitation Windows et des applications qui s'exécutent sous Windows’’

Hunting Mimikatz
Une formation
Hamza KONDAH

Une formation
Mimikatz
Mimikatz est un outil permettant d’effectuer diverses
actions sur un système Windows
injection de bibliothèques, manipulation de processus,
extraction de hashs et de mots de passe….
Il devient indispensable aujourd’hui dans la boîte à outils
de tout pentester

Une formation
Local Security Subsystem Service
LSASS.EXE (Local Security Authority Subsystem) est un exécutable qui est nécessaire
pour le bon fonctionnement de Windows.
Il assure l'identification des utilisateurs (utilisateurs du domaine ou utilisateurs
locaux).
Les attaquants peuvent tenter d'accéder aux informations d'identification stockées
dans la mémoire de processus du service de sous-système de l'autorité de sécurité
locale (LSASS).

Hunting des évènements RDP
Une formation
Hamza KONDAH

RDP : Authentifications réussis

Hunting Password Spraying
Une formation
Hamza KONDAH

Hunting de surpression et désactivation
des journaux
Une formation
Hamza KONDAH

Apprendre à utiliser DeepBlue-CLI
pour analyser des logs Windows
Une formation
Hamza KONDAH

Utiliser un navigateur de logs
afin de mieux les visualiser
Une formation
Hamza KONDAH

Découvrir Sysmon
et son apport au niveau des logs
Une formation
Hamza KONDAH

Monitoring système et réseau
Surveillance des processus : implique la surveillance de l'activité du processus et l'examen des
propriétés résultantes lors de l'exécution du malware
Surveillance du système de fichiers : inclut la surveillance de l'activité du système de fichiers en
temps réel pendant l'exécution du malware
Surveillance du registre : implique la surveillance des clés de registre accédées / modifiées et
des données de registre qui sont lues / écrites par le malware
Surveillance du réseau : implique la surveillance du trafic vers et depuis le système pendant
l'exécution du malware

La journalisation native
de Windows n’est pas suffisante !

Sysmon
Le Moniteur système « Sysmon » est un service système
Il permet de surveiller et consigner l'activité du système dans le journal des événements
Windows
Il fournit des informations détaillées sur les créations de processus, les connexions réseau et les
modifications apportées à l'heure de création des fichiers
La collecte se fait sur une base de règles XML
2 fichiers présent au niveau de la machine
C:Windowssysmon.exe
C:WindowssysmonDRV.exe
Un service installé
Sysmon est plus qu’un luxe, c’est une nécessité !

Apprendre à configurer
des fichiers de configuration sysmon
Une formation
Hamza KONDAH

Ce que Sysmon peut loger
• CreateRemote Thread
• RawAccessRead
• Process accessed
• File created
• Registry object added, deleted,value set,
• object renamed
• File stream created
• Sysmon configuration change
• DNS query
• Process Create
• File creation time
• Network connections
• Sysmon service state change
• Process terminated
• Driver Loaded
• Image loaded
• Named pipe created, connected
• WMI Events

Fichier de configuration sysmon

Déployer Sysmon
sous Windows
Une formation
Hamza KONDAH

Déployer Sysmon sous Linux
Une formation
Hamza KONDAH

Introduction
Sysmon pour linux se base sur les eBPF (Extended Berkeley Packet Filter)
Une combinaison avec Syslog
eBPF permet aux développeurs d'écrire du code qui s'exécute dans l'espace kernel de manière
plus sécurisée et restreinte afin d'ajouter des capacités supplémentaires au système d'exploitation
lors de l'exécution
Il est utilisé pour
Sécurité
Traçabilité
Mise en réseau
Observabilité et surveillance

Effectuer une analyse de log avec Sysmon
Détecter le téléchargement de fichiers malicieux
Une formation
Hamza KONDAH

Détecter les actions d'un ransomware
Une formation
Hamza KONDAH

Détecter les executions de Macros
Une formation
Hamza KONDAH

Apprendre à simuler des events
sysmon avec Sysmon Simulator
Une formation
Hamza KONDAH

Sysmon Simulator
Sysmon Simulator est un utilitaire de simulation d'événements Windows Open source créé en
langage C, qui peut être utilisé pour simuler la plupart des attaques à l'aide de WINAPI
Cela peut être utilisé par les équipes Bleus pour tester les détections EDR et les règles de
corrélation

Découvrir Osquery et son rôle dans
l'analyse et la détection de menaces
Une formation
Hamza KONDAH

Introduction Osquery
Osquery est une plateforme de monitoring et d’analyse de sécurité des points de terminaisons
Il peut aussi être utilisé pour la compliance et le devops, l’analyse de performances …
Osquery se comporte avec votre machine comme une base de données relationnel
Il permet d’extraire les informations à travers des requêtes SQL traditionnel
Il est disponible sous Windows, Linux, MacOS et FreeBSD

Exemples d’informations
Processus en cours d'exécution et leurs paramètres
Programmes exécutés au démarrage du système
Services système
Liste des utilisateurs et utilisateurs actuellement connectés
Registres
Événements Windows
Tâches planifiées
Les ports réseau sur lesquels la machine écoute
Paramètres fichiers
Une formation

Avantages Osquery
Visibilité
Cybersécurité
Prise en charge des plates-formes les plus
utilisées
Code source accessible au public sous la
licence Apache 2.0
Une formation

Déployer Osquery
sous Windows et Linux
Une formation
Hamza KONDAH

Construire des requêtes
Osquery
Une formation
Hamza KONDAH

Rechercher des traces de
persistances

Afficher les tâches
planifiées

Connection réseaux des
processus

Comprendre les fichiers
de configuration Osquery
Une formation
Hamza KONDAH

Fichier de configuration osquery.cnf

Fichier de configuration osquery.flags

Fichier de configuration Packs

Forwarder les logs Osquery
à Splunk
Une formation
Hamza KONDAH

Fichier input.conf
[monitor://C:Program Filesosquerylogosqueryd.results.log]
sourcetype = osquery:results
index = osquery
App splunk

Découvrir Zeek et son rôle
dans un système d'information
Une formation
Hamza KONDAH

Introduction à Zeek
Zeek (AKA) est une puissante plateforme de supervision
de sécurité réseau
Le moteur Zeek capture le trafic et le convertit en une
série d'événements
Zeek prend en charge les alertes en temps réel,
l'enregistrement des données pour une enquête plus
approfondie et l'exécution automatique du programme
pour les anomalies détectées (IR)
Une formation

Introduction à Zeek
Il génère des métadonnées réseau riches qui sont
extrêmement précieuses pour la réponse aux
incidents, le forensique et le dépannage
Output
JSON
ASCII
SQLLite
Une formation

Déployer et configurer Zeek
Une formation
Hamza KONDAH

Analyser les flux réseaux
avec Zeek
Une formation
Hamza KONDAH

Forwarder les logs Zeek
à Splunk
Une formation
Hamza KONDAH

Effectuer une analyse des logs
Zeek avec BRIM
Une formation
Hamza KONDAH

Introduction à BRIM
Brim est une application Desktop pour explorer, interroger et façonner les données à
partir d’un data super-structuré
C’est une solution intéressante pour parcourir des fichiers pcap ou zeek(json)
Zeek produit un flux dédié "conn.log" contenant toutes les données de connexion
pertinentes

Appréhender le fonctionnement des
IDS et IPS dans un réseau informatique
Une formation
Hamza KONDAH

Découvrir les IDS
IDS = Système de Détection d’Intrusion (en anglais IDS = Intrusion Detection System)
NIDS = Network Intrusion Detection System
Mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un
réseau ou un hôte)
Il permet ainsi d’avoir une action de prévention sur les risques d’intrusion afin de détecter toute
tentative d’intrusion et éventuellement de réagir à cette tentative

Terminologie
Faux positif
Faux
négatif
Evasion Sonde
Log
Fichier de
log
Signature
d’attaque

Actions d’un IDS
Journaliser l’événement : source d’information et vision
des menaces courantes
Avertir un système avec un message
Exemple : appel SNMP
Avertir un humain avec un message : courrier
électronique, SMS, interface Web, etc
Amorcer certaines actions sur un réseau ou hôte
Exemple : mettre fin à une connexion réseau, ralentir le
débit des connexions, etc (rôle actif)
Une formation

Découvrir les IPS
IPS : Système de Prévention d’Intrusion (en anglais IPS : Intrusion Prevention System)
NIPS = Network Intrusion Prevention System
Ensemble de composants logiciels et matériels dont la fonction principale est
d’empêcher toute activité suspecte détectée au sein d’un système

Découvrir Suricata et son rôle
dans un système d'information
Une formation
Hamza KONDAH

Suricata
Suricata est une solution open source de détection de menace
Il combine IDS, IPS et monitoring du réseau
Il y a une communauté très active autour de Suricata (OSIF : Open Information Security
Foundation )
2 Rôles principaux
Active : IPS
Passif : IDS
Il utilise un ensemble de règles prédéfini pour détecter la Traffic malicieux
Ses logs peuvent être forwardé vers des SIEM pour plus de corrélation

Déployer et configurer
Suricata
Une formation
Hamza KONDAH

Comprendre les règles suricata
Une formation
Hamza KONDAH

Les Règles Suricata
drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg:”ET TROJAN Likely Bot Nick
in IRC (USA +..)”; flow:established,to_server; flowbits:isset,is_proto_irc;
content:”NICK “; pcre:”/NICK .*USA.*[0-9]{3,}/i”;
reference:url,doc.emergingthreats.net/2008124; classtype:trojan-activity;
sid:2008124; rev:2;)

Forwarder les logs Suricata
à Splunk
Une formation
Hamza KONDAH

Découvrir la solution SELKS
Une formation
Hamza KONDAH

SELKS
SELKS est une distribution opensource basée sur Debian
En plus d’une interface simple et intuitive, il possède un stack d’outils lui permettant d’assurer de la
détection et prévention d’intrusion, de la surveillance de la sécurité réseau (NSM) et du Threat
Hunting
S - Suricata IDPS/NSM
E - Elasticsearch
L - Logstash
K - Kibana
S - Scirius CE
EveBox
Arkime
CyberChef

Comprendre le concept
d’Adversary Emulation
Une formation
Hamza KONDAH

Adversary Emulation
L’Adversary Emulation est un type particulier des exercices Red Team
Il consiste à imiter les actions effectuées par des groupes APT, des menaces avancées, ou tout
simplement des modes opératoires connues pour être utilisés par des attaquants
Les équipes construisent un(des) scénario(s) pour tester certains aspects des tactiques, techniques
et procédures (TTP) d'un adversaire
L'équipe rouge suit ensuite le scénario afin de tester comment les défenses pourraient se
comporter contre l'adversaire émulé
https://www.slideshare.net/AdamPennington4/rhisac-summit-2019-adam-pennington-leveraging-mitre-attck-for-detection-
analysis-defense

Une formation
MITRE ATT&CK
Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus
du MITRE (Cadre de projet FMX)
ATT&CK signifie Adversarial Tactics, Techniques, and Common
Knowledge
Documentation des TTPs courantes utilisées par les menaces
persistantes avancées (APT)
Le MITRE ATT&CK est un point de départ
Threat intelligence
Voir l’image en grand  (Des logs biensure)
Ligne défensive efficace
Analyse forensique

TTPs : Tactiques, Techniques et Procédures
La Tactique : L’objectif d’un attaquant
Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs
“techniques”
Sous-techniques : Elles décrivent les actions et le comportement de l'adversaire à un
niveau inférieur et plus technique
Procédures : Mises en œuvre spécifiques que les adversaires utilisent pour une
technique ou une sous-technique

Une formation
Caldera
ATTPwin
Atomic RedTeam
RTA - Red Team Automation
Infection Monkey
Invoke-Adversary
Cymulate
Cobalt Strike
Immunity Adversary Simulation
Outils

Concevoir un exercice
d'Adversary Emulation
Une formation
Hamza KONDAH

Adversary Emulation
Emotet : https://www.capfi.fr/la-newsroom/blog/caldera-comment-identifier-ses-faiblesses-face-aux-cyberattaques/

Déployer des opérations d’AE
avec Atomic Red Team
Une formation
Hamza KONDAH

Une formation
Atomic Red Team
Un projet démarré par l’équipe de Red Canary
(https://redcanary.com/)
Un projet Open Source avec une grande communauté
Une librairie d’attaques scriptées
Permet d’effectuer notamment de l’émulation adverse
Détection : Blue Teams
Validation des mesures de sécurité
Ajuster les configurations
Evaluer les produits de sécurité

Déployer des opérations
D’AE avec Caldera
Une formation
Hamza KONDAH

Caldera
CALDERA™ est un framework de cybersécurité développé par MITRE qui permet aux
Red Teamer d'économiser du temps, de l'argent et de l'énergie grâce à des évaluations
de sécurité automatisées
1. Charger l’agent CALDERA sur les hôtes du réseau
2. Créer un adversaire en lui donnant des capacités
3. Lancer l'opération

Déployer des opérations
D’AE avec PurpleSharp
Une formation
Hamza KONDAH

Introduction au SIEM
Une formation
Hamza KONDAH

Introduction aux SIEM
Système de gestion des événements et des informations de sécurité (SIEM)
Point de gestion de logs centralisé
Un rôle principale : Visibilité sur les activités d’un système d’information
Leurs richesses : Plus il y a de logs, plus on s’amusent
Périphériques réseaux
Serveurs
Dispositifs de sécurité
Applications
Collecte Corrélation Analyse Réaction

Se positionner au niveau
de l'analyse avec un SIEM
Une formation
Hamza KONDAH

Se positionner au niveau de l’analyse de logs
Dans notre contexte, nous allons utiliser Splunk comme SIEM
Nous n’allons pas utiliser d’application Premium
Nos objectifs sont : la prise en mains, la recherche, l’analyse et surtout, la structuration des
connaissances
Notre SIEM sera un point centralisé des logs qu’on a pu envoyer jusqu’à maintenant
Splunk

Se positionner au niveau de l’analyse de logs

« SOC = Sécurité absolue »
Un saint expert cybersécurité

Le problème du SOC
Une pléthore de solution de sécurité
Des ressources humaines rarissime : Threat Actor > Blue Teams
Un temps de réponse inefficace,
La découverte d’une compromission se passe parfois plusieurs mois après l’action
Des acteurs de menaces de plus en plus organisés et structurés (avec des outils
sophistiqués)
Vous avez accès à des EDR,SIEM… eux aussi  Techniques d’évasions qui ne manquent
pas
L’imperfection est humaine…
Les attaquants changent, pas les TTPs

Découvrir les méthodologies
d'analyse avec un SIEM
Une formation
Hamza KONDAH

Appréhender le modèle
Splunk CIM
Une formation
Hamza KONDAH

Découvrir le CIM
Le modèle d'information commun (CIM) de Splunk est un modèle
sémantique partagé axé sur l'extraction de la valeur des données

Découvrir les applications
de sécurité premium de Splunk
Une formation
Hamza KONDAH

Applications de sécurité premium de Splunk
Splunk possède des licences complémentaires afin d’étendre ses capacités
SIEM, SOAR et UEBA
Splunk Enterprise Security
Splunk User Behavior Analytics
Splunk Phantom
Splunk Security Cloud Foundations

Concevoir un plan
d'émulation des menaces
Une formation
Hamza KONDAH

Modéliser un plan d'émulation
des mances avec Vectr
Une formation
Hamza KONDAH

La solution Vectr
VECTR est une plate-forme de purple teaming permettant de modéliser des approches
d’émulations d'adversaires
Son but est de documenter les attaques, de mesurer l'efficacité des outils défensifs,
renforcer la sécurité et améliorer les capacités de détection grâce au suivi des
performances actuelles et historiques

Détecter et analyser les techniques
d'accès initiaux avec Splunk
Une formation
Hamza KONDAH

d'exécution avec Splunk
Une formation
Hamza KONDAH

d'élévation de privilèges avec Splunk
Une formation
Hamza KONDAH

de persistance avec Splunk
Une formation
Hamza KONDAH

de Credential Access avec Splunk
Une formation
Hamza KONDAH

d'exfiltration de données avec Splunk
Une formation
Hamza KONDAH

de ransoming avec Splunk
Une formation
Hamza KONDAH

Introduire la solution
SIGMA
Une formation
Hamza KONDAH

Une formation
Introduction
SIGMA est un projet de Florien Roth (@cyb3rops) et Thomas
Patzke(@blubbfiction)
Lien Github : https://github.com/SigmaHQ/sigma
Format de signature générique et ouvert
Il vient pour résoudre un principale problème
La pléthore de technologies (SIEM)
Description universel d’une menace/use case
L'écriture de règles Sigma est assez simple et suit le format de
sérialisation YAML
L'une des meilleures fonctionnalités est qu'il ne se limite pas à un
fichier journal ou à une extension particulière

Avantages SIGMA
Évolutivité
Communauté
Simplicité

Use cases
Développer des règles reflétant votre angle d’analyse
Eviter la dépendance vis-à-vis des éditeurs
Partager des signatures de manière communautaires (Incluant avec MISP)
Adapter les règles à votre contexte

Exploiter SIGMA
pour la détection de menaces
Une formation
Hamza KONDAH

Conclusion
Une formation
Hamza KONDAH

Une formation
Bilan de la formation
Dompter le concept de journalisation
Déployer Sysmon pour enrichir les logs
Comprendre, déployer et configurer osquery
Comprendre, déployer et configurer Zeek
Comprendre, déployer et configurer Suricata
Comprendre et implémenter des exercices d‘Adversary Emulation
Exploiter des SIEM afin de détecter des menaces
Découvrir SIGMA pour la détection de menace
Appréhender l'essentiel de réponse à incident

Boss Of The SOC
Boss of the SOC est une compétition de type CTF proposé par
Splunk
Nous allons exploiter ces datasets afin d’aiguiser nos compétences
en Threat Hunting
Essayez de faire les questions avant de voir les solutions !
Boss of The SOC v1
https://github.com/splunk/botsv1
Boss of The SOC v2
https://github.com/splunk/botsv2
Une formation

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2)

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2)

Contenu connexe

Tendances

Plus de Alphorm

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyste SOC (2/2)