Appréhender Les Méthodes D'investigation Numérique: IDOCS201 Ista Hay Riad Rabat

SERKOUH RYAD
Appréhender les méthodes

d'investigation numérique
FILIÈRE INFRASTRUCTURE DIGITALE
OPTION CYBERSÉCURITÉ
IDOCS201
ISTA HAY RIAD RABAT
90 HEURES
EAST CORDALE SCHOOL
A. MAÎTRISER LA TECHNOLOGIE SIEM (SEM /

SIM)
SOMMAIRE 1 – CONNAITRE LE FONCTIONNEMENT D’UN SIEM
2 – CONCEVOIR LES RÈGLES DE CORRÉLATION
Ce document traite des méthodes

B. APPRÉHENDER LES MÉTHODOLOGIES
d'investigation numérique, c'est-à-dire des D’INVESTIGATION RÉSEAUX ET SYSTÈMES
techniques utilisées pour collecter, analyser et 1 – IDENTIFIER LE PROCESSUS D’INVESTIGATION
présenter des preuves numériques devant un
tribunal. Il aborde les concepts de base de 2 – RÉPERTORIER LES INDICATEURS DE
l'investigation numérique, les différentes COMPROMISSION
méthodes d'investigation telles que l'analyse C. MAITRISER LES OUTILS D’INVESTIGATION
de la mémoire, de la communication réseau,
des systèmes de fichiers et des bases de 1 – IDENTIFIER LES OUTILS D’INVESTIGATION DU
données. Le document explique également MARCHÉ
l'importance de la préservation des preuves 2 - APPLIQUER LES OUTILS SUR UN CAS PRATIQUE
numériques et de leur admissibilité devant un
tribunal. Il souligne enfin l'importance de D. RÉDIGER DES RAPPORTS D’INVESTIGATION
l'investigation numérique dans le contexte
1 – IDENTIFIER LES ÉLÉMENTS D’UN MODÈLE DE RAPPORT
actuel où les cyberattaques sont de plus en plus
fréquentes. 2 – STRUCTURER LE RAPPORT D’INVESTIGATION
PARTIE 1
A. Maîtriser la technologie SIEM (SEM / SIM)
1 – Connaitre le fonctionnement d’un SIEM 2 – Concevoir les règles de corrélation

Maîtriser la technologie SIEM (SEM /
SIM)
Connaitre le fonctionnement d’un SIEM
Le SIEM (Security Information and Event Management) est une approche du management de la sécurité. Le
SIEM donne aux professionnels de la sécurité un aperçu et un historique des activités au sein de leur
environnement informatique.
Un SIEM (Security Information and Event Management) est une plate-forme de sécurité qui permet de
collecter, d'analyser et de corréler des informations à partir de différents sources (systèmes, applications et
appareils) afin de détecter des menaces de sécurité et de répondre aux incidents de sécurité.
Le logiciel répond à deux objectifs principaux :
Fournir des rapports sur les incidents et événements liés à la sécurité : les connexions réussies et échouées,
l'activité des logiciels malveillants et d'autres activités malveillantes possibles.
Envoyer des alertes si l'analyse montre qu'une activité s'exécute sur des ensembles de règles
prédéterminées, comme par exemple l'exécution d'un logiciel malveillant, et indique ainsi un problème de
sécurité potentiel.
SIM)
1. Collecte des données 3. Stockage des données

le SIEM collecte des données à partir de différentes les données normalisées sont stockées dans une base de
sources telles que les journaux d'événements, les alertes données pour une analyse ultérieure.
de sécurité, les données de réseau, les informations sur
les utilisateurs, etc.
2. Normalisation des données 4. Analyse des données

les données collectées sont normalisées pour être les données stockées sont analysées à l'aide
interprétées par le SIEM. Cela implique la normalisation d'algorithmes et de règles préconfigurées pour détecter
de formats, de noms de champs, etc. les menaces de sécurité.
SIM)
5. Corrélation des données 6. Alertes

les données sont corrélées pour détecter des patterns si une menace est détectée, le SIEM génère une alerte
ou des événements suspects qui pourraient indiquer une pour signaler l'incident.
attaque en cours.
7. Rapports
le SIEM génère des rapports pour aider les équipes de
sécurité à comprendre l'état de la sécurité de
l'organisation et à prendre des mesures pour renforcer la
sécurité.
SIM)
Connaitre le fonctionnement d’un SOC
Pour gérer les alertes et détecter des intrusions, les équipes SOC utilisent un Security Information Event
Management (SIEM). C’est un des outils centraux pour monitorer la sécurité que nous verrons plus en détail
dans les prochaines parties de ce cours.
La mission principale d’un SOC est d’identifier, analyser et remédier aux incidents de cybersécurité. Cela,
grâce au monitoring des différents équipements, mais aussi grâce aux méthodes d’analyse et de veille.
Pour identifier et investiguer des incidents de sécurité, de nombreuses entreprises comptent sur un Security
Operations Center (SOC)
Le SOC est une équipe dédiée à la supervision de la sécurité du système d’information.

SIM)
SIM)
Concevoir les règles de corrélation
Solutions du marché : Il existe de nombreuses solutions SIEM disponibles sur le marché, proposées par différents fournisseurs.
Voici quelques exemples de solutions SIEM populaires :
1. IBM QRadar : Il s'agit d'une solution SIEM complète qui offre une analyse avancée des événements de sécurité, une
détection des menaces en temps réel, une gestion des journaux et des rapports personnalisables.
2. Splunk Enterprise Security : Il s'agit d'une plateforme SIEM basée sur le machine learning et l'analyse des données pour la
détection des menaces.
3. LogRhythm : Cette solution SIEM offre une surveillance en temps réel, la détection des menaces, la gestion des journaux et
l'automatisation de la réponse aux incidents de sécurité.
4. McAfee Enterprise Security Manager : Il s'agit d'une solution SIEM qui offre une visibilité complète sur les événements de
sécurité, une détection des menaces en temps réel et des fonctionnalités de gestion des journaux.
5. ArcSight : Cette solution SIEM propose une surveillance en temps réel, une corrélation d'événements, des fonctionnalités
d'automatisation et de gestion des journaux.
SIM)
La corrélation consiste à faire correspondre des événements de plusieurs systèmes (hôtes, dispositifs réseau,
contrôles de sécurité, n’importe quelle source de logs). Des événements de plusieurs sources peuvent être
combinés et comparés afin d’identifier des patterns de comportement invisibles avec une simple analyse.
La corrélation permet d’automatiser la détection d’événements qui ne devraient pas se produire au sein d’un
réseau.
Exemple :
« 15:05 21/07/2016 User ryad Successful Auth to 10.194.32.104 from 10.10.8.15 »

donne, avec corrélation :
« Un compte appartenant à Ryad du département OFPPT s’est connecté à un serveur de production à partir
d’un post local, un jour ou personne ne devrait être dans les locaux »
SIM)
Utilisation de SIEM pour la détection d'intrusion (Elastic et Splunk)
Elastic et Splunk sont deux des solutions SIEM les plus populaires sur le marché. Ils offrent tous deux des
fonctionnalités similaires pour la détection d'intrusion.
Cependant, il existe également des différences importantes entre les deux solutions.
Par exemple, Elastic est open source et offre une version gratuite, tandis que Splunk est une solution
commerciale qui nécessite une licence payante.
En outre, la configuration et la mise en œuvre d'Elastic et de Splunk sont différentes, chacune ayant ses
propres avantages et inconvénients en termes de facilité d'utilisation, de performance et de coût.
En fin de compte, le choix entre Elastic et Splunk dépendra des besoins spécifiques de l'organisation en
matière de sécurité et des ressources disponibles pour la configuration et la gestion de la solution SIEM.
SIM)
Tableau de bord
Une console unique permet à l’équipe du SOC d’interagir avec les données, de gérer les alertes, de suivre l’état
et l’activité des solutions de protection contre les vulnérabilités et d’identifier les systèmes qui échappent à
l’analyse des vulnérabilités.
Les objectifs de la conception des tableaux de bords sont :
·Améliorer la détection rapide des intrusions pour réduire le temps de réponse aux incidents de sécurité.
·Renforcer la sécurité de l'entreprise en ajoutant des équipements et des procédures de surveillance efficaces.
·Garantir une gestion optimisée des incidents de sécurité en détectant les attaques informatiques plus
rapidement.
·Prévenir les pertes de données importantes causées par des attaques de ransomware et autres intrusions.
L’importance du monitoring de la sécurité :

Le tableau de bord est essentiel pour détecter rapidement toute activité malveillante et de répondre de
manière appropriée avant qu'elle ne cause des dommages importants.
PARTIE 2
B. Appréhender les méthodologies d’investigation réseaux et
systèmes
1 – Identifier le processus d’investigation 2 – Répertorier les indicateurs de

compromission
Appréhender les méthodologies
d’investigation réseaux et systèmes
Identifier le processus d’investigation
L’investigation numérique est une branche de la science d’investigation qui se concentre sur la récupération et
l'investigation des matériaux trouvés dans les appareils numériques liés à la cybercriminalité.
L’investigation numérique est le processus d'identification, de préservation, d'analyse et de documentation des
preuves numériques,. Ce processus permet d'élucider un crime et de présenter des preuves devant un tribunal.
L’investigation numérique se déroule en cinq étapes:
1.Identification
2.Préservation
3.Analyse
4.Documentation
5.Présentation
•Identification de la preuve digitale : sert a identifier les éléments pouvant contenir des indices et des preuves.
Cela permet de déterminer les outils qui devront être utilisés pendant la phase d’analyse.
•Préservation de la preuve digitale: Cette phase est une phase critique puisque dans certains cas les preuves
digitales doivent être présentées comme pièces à conviction devant une instance judiciaire.
•Analyse de la preuve digitale: Le but de cette phase est de transformer les données brutes dans une forme
compréhensible par toute personne impliquée dans l’enquête.
•Documentation de la preuve digitale:
•Présentation de la preuve digitale: Le but de cette phase est de présenter les résultats aux personnes
intéressées, qui ne sont pas forcément spécialistes du domaine.
•Étape 1 —IDENTIFICATION: Identifiez le contexte et récupérez les informations:
L’identification du contexte est une phase très importante, car elle permet d’obtenir des informations liées à
l’incident de sécurité. Lors de cette phase, vous devrez rencontrer diverses personnes telles que les personnes
de l’IT, les administrateurs, les responsables des machines infectées ou encore le RSSI. Ceci vous permettra
d’orienter vos recherches pour ne pas faire fausse route.
•Étape 2 —PRÉSERVATION: Collectez les supports numériques à analyser:
Vous avez précédemment identifié le contexte de l’attaque et également des machines potentiellement
compromises. La phase de collecte va permettre de copier les données pour pouvoir les analyser (copie de la
mémoire vive, et copie du disque dur). Vous réaliserez des hashs des informations collectées. Cela permettra
de réaliser l’analyse sur la copie sans altérer les données originales.
•Étape 3 — ANALYSE: Analysez les données collectées:
Après avoir collecté les données, il faut maintenant les analyser. C'est la phase la plus technique de
l'investigation. Dans cette phase, vous réaliserez la chronologie des évènements pour extraire la date et le
moment précis de l’incident, ainsi que l’analyse des artefacts tels que les processus, le registre et le réseau.
Une phase de triage sera également réalisée.
Nous découperons cette phase en 3 étapes :
1.L'analyse du dump mémoire, c'est-à-dire de la RAM de l'ordinateur.
2.L'analyse du disque dur de l'ordinateur et de tous les fichiers qu'il contient.
3.L'analyse des fichiers identifiés comme suspects ou malveillants.
•Étape 4 — DOCUMENTATION: Corrélation et reporting:

Dans cette phase, vous présenterez dans un rapport le résultat de vos analyses. Vous présenterez de manière
factuelle les éléments découverts. Vous indiquerez également les indicateurs de compromission et les
recommandations à mettre en place pour améliorer la sécurité de l’entreprise.
•Etape 5 PRÉSENTATION:
Présentation des résultats trouvés.
Répertorier les indicateurs de compromission
•Lors d'un incident de cybersécurité, les indicateurs de compromission (IoC pour Indicators of Compromise)
sont des indices et des preuves d'une fuite de données. Ces miettes numériques peuvent révéler non seulement
qu'une attaque a eu lieu, mais aussi la plupart du temps quels outils ont été utilisés dans l'attaque et qui est
derrière elle.
•Les Indicators of Compromise peuvent également être utilisés pour déterminer dans quelle mesure une
compromission a affecté une organisation ou pour tirer les leçons d’une attaque, afin d'aider à protéger
l'environnement contre de futures attaques.
•Les indicateurs sont généralement collectés à partir d’antimalwares et d’antivirus, mais d'autres outils de
cybersécurité à intelligence artificielle peuvent être utilisés pour agréger et organiser les indicateurs lors de la
réponse à un incident.
Un indicateur de compromission est un élément unique et qui permet de caractériser et d’identifier les
éléments d’une attaque. Cela peut être :
•les hash de fichier ou logiciel malveillant ;
•des adresses IP ;
•des clés de registre ;
•des emplacements sur le disque ;
•une adresse email ;
•une adresse de portefeuille de cryptomonnaie (pour une rançon, par exemple) ;
•un mutex. (Exclusion mutuelle)
Matrice ATT&CK
La matrice ATT&CK est une initiative du MITRE qui permet d’identifier les tactiques et les techniques utilisées
par un attaquant. Elle fournit un ensemble de classifications permettant d’identifier les différentes phases
d’une attaque, ainsi que les techniques utilisées pour chaque phase.
Analyse numérique des données
L'analyse forensique (anglais : digital forensics), également appelée investigation numérique, est un domaine
scientifique souvent rattaché à divers crimes informatiques, dans lequel on cherche à récupérer et analyser des
supports numériques potentiellement suspicieux. L'analyse forensique a de nombreuses applications. La plus
commune est de venir supporter ou réfuter une hypothèse avant un passage au tribunal.
L’analyse forensic nécessite de respecter des bonnes pratiques en utilisant les outils adéquats. Il existe une
multitude d’outils open source, freeware ou propriétaires, permettant d’analyser des supports numériques. Dans
certains cas et notamment lors d’enquêtes judiciaires, il sera également nécessaire d’utiliser du matériel tel que
des bloqueurs en écriture lors de la collecte de données.
Débutez l’analyse mémoire avec Volatility
•Les données de traitement d'un ordinateur sont toujours stockées dans la mémoire RAM (Random Access
Memory) car elle possède un temps d'accès beaucoup plus faible que la mémoire disque.
•Ces données permettent à l’analyste de retrouver des informations concernant des connexions réseaux, des
clés de registre, des mots de passe ou encore des processus en cours d’exécution.
•Lors d’une analyse forensic, l’étude de l’image mémoire d’un système avec des outils spécifiques peut s’avérer
utile, car elle permettra d’extraire des informations difficilement exploitables lorsque le système est en
fonctionnement. C’est ce qui vous permettra de comprendre quelles actions ont été effectuées.
Volatility est un framework open source pour l'informatique légale et en particulier le recouvrement de
mémoire, utilisé dans la réponse à incident informatique et l'analyse des logiciels malveillants.
Le logiciel est écrit en Python et prend en charge les systèmes d'exploitation Microsoft Windows, Mac OS X et
Linux. Il est nativement inclus dans Kali Linux.
Volatility peut être téléchargé sur le site de Volatility Foundation. Il existe une version pour Windows, Mac et
Linux. Dans votre machine d’analyse SIFT, Volatility est préinstallé !
SIFT (SANS investigative forensic toolkit) La machine virtuelle (appliance) est disponible gratuitement sous
Ubuntu 14.04. SIFT est une suite d'outils d'investigations dont vous avez besoin et l'une des plateformes de
réponse aux incidents open source les plus populaires.
Pour lancer Volatility, il suffit d’ouvrir un terminal et d’entrer par exemple la commande volatility -hpour
afficher les options disponibles
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference
VM Linux SIFT que vous pouvez télécharger à cette adresse :

SIFT Workstation | SANS Institute
PARTIE 3
C. Maitriser les outils d’investigation
1 – Identifier les outils d’investigation du 2- Appliquer les outils sur un cas pratique
marché
Maitriser les outils d’investigation
Identifier les outils d’investigation du marché
FTK Imager Autopsy, Cellebrite et EnCase sont tous des logiciels de forensique numérique utilisés pour
l'acquisition et l'analyse des données numériques.
FTK Imager est un logiciel utilisé dans le domaine de la forensique numérique pour acquérir des images
disques et des données à partir de différents types de supports de stockage, tels que les disques durs et les
disques amovibles. Il est également capable de créer des fichiers de hachage, de vérifier l'intégrité des
données et de récupérer des fichiers supprimés.
Appliquer les outils sur un cas pratique
L'investigation numérique sous Windows et Linux consiste à collecter, examiner et analyser des données
numériques stockées sur des ordinateurs utilisant les systèmes d'exploitation Windows ou Linux. Cela peut
inclure la recherche de preuves numériques pour des enquêtes criminelles, des litiges, des violations de
données ou d'autres enquêtes légales. Les enquêteurs peuvent utiliser des outils de forensique numérique tels
que EnCase, FTK Imager et Autopsy pour récupérer des données à partir du disque dur ou d'autres supports
de stockage et pour effectuer des analyses de système de fichiers.
L'investigation numérique sous iOS consiste à collecter, examiner et analyser des données numériques stockées
sur des appareils mobiles utilisant le système d'exploitation iOS, tels que les iPhones et les iPads. Cela peut
que Cellebrite ou Magnet Forensics pour extraire des données telles que les messages texte, les journaux
d'appels, les photos et les vidéos à partir de l'appareil.
Appliquer les outils sur un cas pratique
L'investigation numérique sous Windows et Linux consiste à collecter, examiner et analyser des données
numériques stockées sur des ordinateurs utilisant les systèmes d'exploitation Windows ou Linux. Cela peut
que EnCase, FTK Imager et Autopsy pour récupérer des données à partir du disque dur ou d'autres supports
de stockage et pour effectuer des analyses de système de fichiers.
L'investigation numérique sous iOS consiste à collecter, examiner et analyser des données numériques stockées
sur des appareils mobiles utilisant le système d'exploitation iOS, tels que les iPhones et les iPads. Cela peut
que Cellebrite ou Magnet Forensics pour extraire des données telles que les messages texte, les journaux
d'appels, les photos et les vidéos à partir de l'appareil.
PARTIE 4
D. Rédiger des rapports d’investigation
1 – Identifier les éléments d’un modèle de 2 –Structurer le rapport d’investigation

rapport
Rédiger des rapports d’investigation
Identifier les éléments d’un modèle de rapport
La structure générale d'un modèle de rapport comprend une page de titre, une table des matières, une
introduction, une méthodologie, des résultats, une conclusion et des annexes.
Structure générale :
1.Page de titre : Elle comprend le titre du rapport, le nom de l'auteur, la date et éventuellement le nom du
client ou de l'affaire.
2.Table des matières : Elle permet aux lecteurs de naviguer facilement dans le rapport.
3.Introduction : Elle explique le contexte de l'enquête, les objectifs et la portée de l'enquête.
4.Méthodologie : Elle décrit les méthodes et les outils utilisés pour l'enquête, y compris les protocoles
d'acquisition de preuves, les analyses de données et les processus de validation.
5.Résultats : Elle présente les résultats de l'enquête, y compris les conclusions et les recommandations.
6.Conclusion : Elle résume les résultats de l'enquête et fournit une évaluation globale.
7.Annexes : Elle peut inclure des documents supplémentaires tels que des captures d'écran, des extraits de
fichiers, des images, etc.
Le contenu détaillé d'un modèle de rapport inclut une introduction avec des informations sur la mission et le
contexte, une méthodologie qui décrit les outils et les techniques utilisés pour l'enquête, des résultats
présentant les preuves numériques et les analyses, une conclusion fournissant une évaluation générale de
l'enquête et des annexes incluant des éléments supplémentaires pour soutenir l'enquête.
Contenu détaillé :
1.Introduction : Elle comprend des informations sur la mission, les objectifs, les parties impliquées et la portée
de l'enquête.
2.Contexte : Elle fournit des informations sur les antécédents de l'enquête et les circonstances qui ont conduit
à l'enquête.
3.Méthodologie : Elle décrit les outils et les techniques utilisés pour l'enquête, ainsi que les procédures
d'acquisition, de stockage et de validation des preuves.
4.Résultats : Elle présente les résultats de l'enquête, y compris les preuves numériques, les analyses et les
interprétations.
5.Conclusion : Elle fournit une évaluation générale de l'enquête, y compris les limites, les lacunes et les
recommandations pour l'avenir.
6.Annexes : Elle inclut des éléments supplémentaires pour soutenir l'enquête, tels que des copies de fichiers,
des captures d'écran, des images, des journaux, des listes de questions, etc.
Structurer le rapport d’investigation
Structurer un rapport d'investigation en forensique numérique implique l'organisation des informations
collectées lors d'une enquête en sections claires et logiques, telles que l'introduction, la méthodologie,
l'analyse des preuves, les résultats, les recommandations et la conclusion. Chaque section doit être présentée
de manière cohérente avec des titres et des sous-titres pour guider le lecteur à travers les informations
présentées. Des preuves et des supports visuels doivent également être inclus pour renforcer les résultats de
l'enquête.
Analyse de preuves : Cela implique l'examen des preuves numériques recueillies lors de l'enquête pour
comprendre les événements et les actions qui ont eu lieu sur un système ou un appareil informatique.
L'analyse de preuves peut inclure des activités telles que l'identification, l'acquisition, l'analyse, l'interprétation
et la présentation des données.
Structurer le rapport d’investigation
Indicateurs de compromission : Ce sont des éléments qui indiquent qu'un système informatique ou un
appareil a été compromis ou qu'une activité malveillante a eu lieu. Les indicateurs de compromission peuvent
inclure des anomalies de sécurité, des activités suspectes, des modifications inattendues de fichiers ou de
paramètres système, des tentatives d'attaques, des programmes malveillants et des résultats d'analyse de log.
Recommandations : Ce sont des actions suggérées pour améliorer la sécurité ou la posture de conformité en
réponse aux résultats de l'enquête. Les recommandations peuvent inclure des mesures de sécurité technique,
des pratiques de sécurité des informations, des changements de processus, des formations ou des politiques
de sécurité

Appréhender Les Méthodes D'investigation Numérique: IDOCS201 Ista Hay Riad Rabat

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Appréhender Les Méthodes D'investigation Numérique: IDOCS201 Ista Hay Riad Rabat

Transféré par

Droits d'auteur :

Formats disponibles

SERKOUH RYAD

Appréhender les méthodes

A. MAÎTRISER LA TECHNOLOGIE SIEM (SEM /

SOMMAIRE 1 – CONNAITRE LE FONCTIONNEMENT D’UN SIEM

2 – CONCEVOIR LES RÈGLES DE CORRÉLATION

Ce document traite des méthodes

1 – Connaitre le fonctionnement d’un SIEM 2 – Concevoir les règles de corrélation

1. Collecte des données 3. Stockage des données

2. Normalisation des données 4. Analyse des données

5. Corrélation des données 6. Alertes

Le SOC est une équipe dédiée à la supervision de la sécurité du système d’information.

« 15:05 21/07/2016 User ryad Successful Auth to 10.194.32.104 from 10.10.8.15 »

L’importance du monitoring de la sécurité :

1 – Identifier le processus d’investigation 2 – Répertorier les indicateurs de

L’investigation numérique se déroule en cinq étapes:

•Documentation de la preuve digitale:

•Étape 2 —PRÉSERVATION: Collectez les supports numériques à analyser:

•Étape 4 — DOCUMENTATION: Corrélation et reporting:

VM Linux SIFT que vous pouvez télécharger à cette adresse :

Débutez l’analyse mémoire avec Volatility

1 – Identifier les éléments d’un modèle de 2 –Structurer le rapport d’investigation

Vous aimerez peut-être aussi