Académique Documents
Professionnel Documents
Culture Documents
Description :
Une intrusion a été détecté sur un poste Windows de votre réseau. Vous êtes appelé
à faire des investigations avec l’outil SIEM Graylog pour explorer les différentes phases
de l’intrusion et comprendre les techniques utilisées par l’attaquant.
Vous êtes appelé à répondre à des questions pour identifier les vecteurs d'attaque et
déterminer les mesures de sécurité à mettre en place pour prévenir une telle intrusion
à l'avenir.
Questions :
1. Quelle est la première technique d’attaque utilisé par l’attaquant pour avoir un
premier accès au système (relevé le nom de l’utilisateur touché) ?
2. Créer une règle sur Graylog pour détecter la première technique d’attaque (la
captures de toutes les étapes de création de la règle doit apparaitre dans le
rapport).
3. Quelles sont les actions effectuées par l'attaquant une fois l'accès au système
obtenu ?
4. Quelle est la technique utilisée par l'attaquant pour masquer ces actions sur le
système ?
5. Créer deux (2) règles de détection pour détecter deux des actions suspectes
effectuées par l’attaquant
6. Quels indicateurs de compromission (IOC) peuvent être identifiés dans les logs
du système ?
7. Quelles étapes devraient être suivies pour restaurer l'intégrité du système après
une telle intrusion ?
8. Faire un schéma sur l’évolution de l’attaque, comme l’exemple suivant (les
attaques menées doivent être cyclique en fonction de l’ordre d’exécution) :
Escalation de
Malware C&C
privilège
Exfiltration de
Persistance Backdoor
donnée
9. De telle intrusion arrive souvent dans votre infrastructure, proposer une fiche
d’investigation prenant en compte les étapes du schéma que vous avez
proposé dans la question précédente (La fiche doit contenir les Query Graylog)
Toutes les questions doivent être répondu avec justificatif et capture à l’appui
ANNEXE : ENVOI DES LOGS VERS GRAYLOG
Pour envoyer les logs contenus dans un fichier .evtx à Graylog pour analyse, on va créer
un input pour ces logs pour qu’il ne se mélange pas avec les logs de la machine Windows
qu’on a déjà.
On crée l’input comme ci-dessous :
Dans System > Input on choisit beats puis Launch new input.
winlogbeat.event_logs:
- name: ${EVTX_FILE}
no_more_events: stop
winlogbeat.shutdown_timeout: 30s
winlogbeat.registry_file: evtx-registry.yml
- Dans le paramètre hosts: Remplacer l’IP ci-dessus par l'IP de votre serveur
Graylog suivit du port de l’input crée ci-dessus dans ce cas 8000, puis enregistrez
le fichier.
winlogbeat.exe -e -c ".\tp_windows.yml" -E
EVTX_FILE=C:\Users\Joseph\Documents\logs_tp_windows.evtx
Une fois les logs envoyez on peut retourner dans Graylog puis dans System > Input à
côté de l’input on a créé on fait Show received messages pour afficher les logs
envoyés.