Formation

Techniques de Blue Teaming

L'Essentiel pour l'Analyste SOC (2/2)

Hamza KONDAH
Une formation
Rappel du cursus Blue Teaming
Le Blue Teaming
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les
menaces et les cyberattaques
Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un
mindset proactif
Le Blue Teaming peut englober beaucoup de métiers
Analyste SOC
Incident Responder
Threat Hunter
Et même administrateurs 
Tâches d’une Blue Team
La réalisation d'une analyse de l'empreinte numérique (test d’exposition) de l’organisme
La mise en œuvre de solutions SIEM pour logger et analyser l'activité du réseau
Surveillance au niveau de l'hôte et du réseau
Prévenir les attaques de phishing
Analyse de risque
Threat Hunting
Durcissement réseaux et systèmes
Sensibilisation
Et bien plus encore …
 Connaissances requises
Avoir des connaissances de base en systèmes et réseaux
Avoir des connaissances de base en cybersécurité
Avoir suivi la première formation

Une formation
 Plan de la formation
Introduction
1. Dompter le concept de journalisation
2. Déployer Sysmon pour enrichir les logs
3. Comprendre, déployer et configurer Osquery
4. Comprendre, déployer et configurer Zeek
5. Comprendre, déployer et configurer Suricata
6. Comprendre et implémenter des exercices d‘Adversary
Emulation
7. Exploiter des SIEM afin de détecter des menaces
8. Découvrir SIGMA pour la détection de menace
Conclusion
Une formation
 Public concerné

Administrateurs systèmes et réseaux

Architectes systèmes et réseaux
Analyste SOC
Analyste Cyberdéfense
Consultant cybersécurité
Blue Teams
Toute personne intéressé par l’IT 

Une formation
 Rappel de l'architecture
du lab

Hamza KONDAH
Une formation
Architecture du LAB
Configurations techniques
Machine Windows 10
Hyperviseur VMWARE Workstation Pro
16 Go de RAM
Processeur i7 8ème génération
500 SSD
 Introduire la notion
de journalisation

Hamza KONDAH
Une formation
LOGS = HORODATAGE + SOURCE + DATA
Introduction
Les logs représentent concrètement
un horodatage + une information représentant une trace d’une action
Cela inclus : Les activités des utilisateurs, des fichiers, processus, registres ou applications (et
plusieurs autres)
Toute activité aujourd'hui peut être corrélé et donc peut être exploité comme évènement de
sécurité
Avoir une stratégie de journalisation est impératif
la durée de rétention l’est encore plus
10
Mécanismes de transmission de logs
Syslog
Simple Network Management Protocol (SNMP)
Solutions propriétaire (WEL, eStreamer…)
Ces logs peuvent êtres analyées avec
Des outils basique (Grep, Tail, Head…)
Splunk
Elastic
Graylog
 Appréhender le protocole
de journalisation Syslog

Hamza KONDAH
Une formation
Introduction
Syslog représente un protocole qui a était désigné comme un standard de messages de
journalisation RFC 5424
Il est présent dans quasiment toutes les plateformes
Défacto le standard pour linux
Windows  Windows event Logs
Port UDP 514 - TCP 1468 - TCP 6514
Fichiers de logs
/etc/syslog.conf
/var/log
Configuration
auth ou security Messages de sécurité et d'authentification
authpriv La même chose que précédemment, mais logs plus privés
cron Messages de crontab et de at
daemon Messages systémes générés par le daemon
ftp Messages du serveur ftp
kern Messages du noyau
lpr Messages du serveur d'impression
mail Messages du serveur de messagerie
news Messages du serveur de news
syslog Messages de syslog lui-même
user Messages générés par le programme en cours d'un utilisateur
uucp Messages UUCP
Sévérité
7 debug Messages de debogage
6 info Messages d'information

Messages un peu plus importants que les

5 notice
messages info

4 warning ou warn Messages d'avertissement

3 err Messages d'erreur

2 crit Situation critique

Situation critique nécessitant une intervention

1 alert
immédiate

0 emerg ou panic Système inutilisable

Structure d’un message syslog
Un message syslog se compose de 3 parties
Le PRI (le niveau de priorité calculé)
Le HEADER (en-tête comportant les informations d’identification)
Le MSG (le message lui-même)
 Effectuer une analyse de log
Attaques Web

Hamza KONDAH
Une formation
 Le format de logs Apache
Le serveur HTTP Apache fournit toute une variété de mécanismes différents
pour la journalisation de tout ce qui peut se passer au sein de votre serveur
Il existe deux principales catégories
Access log
Error Log
Format de log
192.168.24.5 - clarck [19/Oct/2021:11:15:14 -0700] "GET /password.pdf
HTTP/1.0" 200 2424
https://httpd.apache.org/docs/current/logs.html#common
Log level
https://httpd.apache.org/docs/current/mod/core.html#loglevel

Une formation
Injection SQL
XSS (Cross Site Scripting)
 Effectuer une analyse de log
Détecter la création de nouveaux comptes
utilisateurs

Hamza KONDAH
Une formation
 Effectuer une analyse de log Syslog
Attaques de brute forcing

Hamza KONDAH
Une formation
Les attaques Bruteforcing
 Maitriser la journalisation
sous Windows

Hamza KONDAH
Une formation
 Présentation
Format de journalisation Windows (Windows Event Log)
Extension .evtx (Windows XML Event Log).
Ils sont stockés au niveau des machines localement
Sur Windows Server 200 à WinXP/WinServer2003
C:\Windows\System32\
Sur Windows Server 2008 à 2019 et Windows Vista à
Win11
C:\Windows\System32\winevt\Logs

Une formation
Introduction
Les journaux d'événements Windows stockent des informations sur différents événements qui se
produisent dans le système
Les données sont généralement enregistrées sous quatre types de journaux d'événements
Windows

Système Application Installation Sécurité

Evènements forwardés
Structure du log

Date et
Nom du
heure de Catégorie Event ID
log/Journal
l’event

Source Niveau Utilisateur Ordinateur

 Les niveaux d’évènements Windows

Les niveaux d'événement Windows indiquent la gravité ou

l'importance de l'événement enregistré
Ceux-ci sont classés comme suit
Information
Avertissement
Erreur
Critique

Une formation
 Evènements intéressant

Une formation
 Effectuer une analyse de log Windows
Tentatives d'authentification et création
d'utilisateur

Hamza KONDAH
Une formation
 Effectuer une analyse de log Windows
Analyser les logs powershell

Hamza KONDAH
Une formation
Powershell
Microsoft définit PowerShell comme suit
"PowerShell® est un shell de ligne de commande basé sur les tâches et un langage
de script conçu spécialement pour l'administration système. Construit sur le .NET
Framework, Windows PowerShell aide les professionnels de l'informatique et les
utilisateurs expérimentés à contrôler et automatiser l'administration du système
d'exploitation Windows et des applications qui s'exécutent sous Windows’’
 Effectuer une analyse de log Windows
Hunting Mimikatz

Hamza KONDAH
Une formation
 Mimikatz
Mimikatz est un outil permettant d’effectuer diverses
actions sur un système Windows
injection de bibliothèques, manipulation de processus,
extraction de hashs et de mots de passe….
Il devient indispensable aujourd’hui dans la boîte à outils
de tout pentester

Une formation
Local Security Subsystem Service
LSASS.EXE (Local Security Authority Subsystem) est un exécutable qui est nécessaire
pour le bon fonctionnement de Windows.
Il assure l'identification des utilisateurs (utilisateurs du domaine ou utilisateurs
locaux).
Les attaquants peuvent tenter d'accéder aux informations d'identification stockées
dans la mémoire de processus du service de sous-système de l'autorité de sécurité
locale (LSASS).

Une formation
 Effectuer une analyse de log Windows
Hunting des évènements RDP

Hamza KONDAH
Une formation
RDP : Authentifications réussis
 Effectuer une analyse de log Windows
Hunting Password Spraying

Hamza KONDAH
Une formation
Password Spraying
 Effectuer une analyse de log Windows
Hunting de surpression et désactivation
des journaux

Hamza KONDAH
Une formation
 Apprendre à utiliser DeepBlue-CLI
pour analyser des logs Windows

Hamza KONDAH
Une formation
 Utiliser un navigateur de logs
afin de mieux les visualiser

Hamza KONDAH
Une formation
 Découvrir Sysmon
et son apport au niveau des logs

Hamza KONDAH
Une formation
Monitoring système et réseau
Surveillance des processus : implique la surveillance de l'activité du processus et l'examen des
propriétés résultantes lors de l'exécution du malware
Surveillance du système de fichiers : inclut la surveillance de l'activité du système de fichiers en
temps réel pendant l'exécution du malware
Surveillance du registre : implique la surveillance des clés de registre accédées / modifiées et
des données de registre qui sont lues / écrites par le malware
Surveillance du réseau : implique la surveillance du trafic vers et depuis le système pendant
l'exécution du malware
 La journalisation native
de Windows n’est pas suffisante !
Sysmon
Le Moniteur système « Sysmon » est un service système
Il permet de surveiller et consigner l'activité du système dans le journal des événements
Windows
Il fournit des informations détaillées sur les créations de processus, les connexions réseau et les
modifications apportées à l'heure de création des fichiers
La collecte se fait sur une base de règles XML
2 fichiers présent au niveau de la machine
C:\Windows\sysmon.exe
C:\Windows\sysmonDRV.exe
Un service installé
Sysmon est plus qu’un luxe, c’est une nécessité !
Actions/Réactions des Logs
 Apprendre à configurer
des fichiers de configuration sysmon

Hamza KONDAH
Une formation
Ce que Sysmon peut loger

• CreateRemote Thread • Process Create

• RawAccessRead • File creation time
• Process accessed • Network connections
• File created • Sysmon service state change
• Registry object added, deleted,value set, • Process terminated
• object renamed • Driver Loaded
• File stream created • Image loaded
• Sysmon configuration change • Named pipe created, connected
• DNS query • WMI Events
Fichier de configuration sysmon
Les conditions sysmon
 Déployer Sysmon
sous Windows

Hamza KONDAH
Une formation
 Déployer Sysmon sous Linux

Hamza KONDAH
Une formation
Introduction
Sysmon pour linux se base sur les eBPF (Extended Berkeley Packet Filter)
Une combinaison avec Syslog
eBPF permet aux développeurs d'écrire du code qui s'exécute dans l'espace kernel de manière
plus sécurisée et restreinte afin d'ajouter des capacités supplémentaires au système d'exploitation
lors de l'exécution
Il est utilisé pour
Sécurité
Traçabilité
Mise en réseau
Observabilité et surveillance
 Events supportés
1 | Process Creation
3 | Network Connect
5 | Process Terminate
9 | RAW access read
11 | File Create / Overwrite
16 | Sysmon config change
23 | File Delete

Une formation
 Effectuer une analyse de log avec Sysmon
Détecter le téléchargement de fichiers malicieux

Hamza KONDAH
Une formation
 Effectuer une analyse de log avec Sysmon
Détecter le téléchargement de fichiers malicieux

Hamza KONDAH
Une formation
 Effectuer une analyse de log avec Sysmon
Détecter les actions d'un ransomware

Hamza KONDAH
Une formation
Actions d'un ransomware
 Effectuer une analyse de log avec Sysmon
Détecter les executions de Macros

Hamza KONDAH
Une formation
 Apprendre à simuler des events
sysmon avec Sysmon Simulator

Hamza KONDAH
Une formation
Sysmon Simulator
Sysmon Simulator est un utilitaire de simulation d'événements Windows Open source créé en
langage C, qui peut être utilisé pour simuler la plupart des attaques à l'aide de WINAPI
Cela peut être utilisé par les équipes Bleus pour tester les détections EDR et les règles de
corrélation
 Découvrir Osquery et son rôle dans
l'analyse et la détection de menaces

Hamza KONDAH
Une formation
Introduction Osquery
Osquery est une plateforme de monitoring et d’analyse de sécurité des points de terminaisons
Il peut aussi être utilisé pour la compliance et le devops, l’analyse de performances …
Osquery se comporte avec votre machine comme une base de données relationnel
Il permet d’extraire les informations à travers des requêtes SQL traditionnel

Il est disponible sous Windows, Linux, MacOS et FreeBSD

 Exemples d’informations
Processus en cours d'exécution et leurs paramètres
Programmes exécutés au démarrage du système
Services système
Liste des utilisateurs et utilisateurs actuellement connectés
Registres
Événements Windows
Tâches planifiées
Les ports réseau sur lesquels la machine écoute
Paramètres fichiers
Une formation
 Avantages Osquery

Visibilité
Cybersécurité
Prise en charge des plates-formes les plus
utilisées
Code source accessible au public sous la
licence Apache 2.0

Une formation
 Déployer Osquery
sous Windows et Linux

Hamza KONDAH
Une formation
 Construire des requêtes
Osquery

Hamza KONDAH
Une formation
Rechercher des traces de
persistances
Afficher les tâches
planifiées
Connection réseaux des
processus
 Comprendre les fichiers
de configuration Osquery

Hamza KONDAH
Une formation
Fichier de configuration osquery.cnf
Fichier de configuration osquery.flags
Fichier de configuration Packs
 Forwarder les logs Osquery
à Splunk

Hamza KONDAH
Une formation
Fichier input.conf
[monitor://C:\Program Files\osquery\log\osqueryd.results.log]
sourcetype = osquery:results
index = osquery

App splunk
 Découvrir Zeek et son rôle
dans un système d'information

Hamza KONDAH
Une formation
 Introduction à Zeek

Zeek (AKA) est une puissante plateforme de supervision

de sécurité réseau
Le moteur Zeek capture le trafic et le convertit en une
série d'événements
Zeek prend en charge les alertes en temps réel,
l'enregistrement des données pour une enquête plus
approfondie et l'exécution automatique du programme
pour les anomalies détectées (IR)

Une formation
 Introduction à Zeek

Il génère des métadonnées réseau riches qui sont

extrêmement précieuses pour la réponse aux
incidents, le forensique et le dépannage
Output
JSON
ASCII
SQLLite

Une formation
Fichiers de logs
 Déployer et configurer Zeek

Hamza KONDAH
Une formation
 Analyser les flux réseaux
avec Zeek

Hamza KONDAH
Une formation
 Forwarder les logs Zeek
à Splunk

Hamza KONDAH
Une formation
 Effectuer une analyse des logs
Zeek avec BRIM

Hamza KONDAH
Une formation
Introduction à BRIM
Brim est une application Desktop pour explorer, interroger et façonner les données à
partir d’un data super-structuré
C’est une solution intéressante pour parcourir des fichiers pcap ou zeek(json)
Zeek produit un flux dédié "conn.log" contenant toutes les données de connexion
pertinentes
 Appréhender le fonctionnement des
IDS et IPS dans un réseau informatique

Hamza KONDAH
Une formation
Découvrir les IDS
IDS = Système de Détection d’Intrusion (en anglais IDS = Intrusion Detection System)
NIDS = Network Intrusion Detection System
Mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un
réseau ou un hôte)
Il permet ainsi d’avoir une action de prévention sur les risques d’intrusion afin de détecter toute
tentative d’intrusion et éventuellement de réagir à cette tentative
Terminologie

Faux
Faux positif Evasion Sonde
négatif

Fichier de Signature
Log
log d’attaque
 Actions d’un IDS
Journaliser l’événement : source d’information et vision
des menaces courantes
Avertir un système avec un message
Exemple : appel SNMP
Avertir un humain avec un message : courrier
électronique, SMS, interface Web, etc
Amorcer certaines actions sur un réseau ou hôte
Exemple : mettre fin à une connexion réseau, ralentir le
débit des connexions, etc (rôle actif)

Une formation
Découvrir les IPS
IPS : Système de Prévention d’Intrusion (en anglais IPS : Intrusion Prevention System)
NIPS = Network Intrusion Prevention System
Ensemble de composants logiciels et matériels dont la fonction principale est
d’empêcher toute activité suspecte détectée au sein d’un système
 Découvrir Suricata et son rôle
dans un système d'information

Hamza KONDAH
Une formation
Suricata
Suricata est une solution open source de détection de menace
Il combine IDS, IPS et monitoring du réseau
Il y a une communauté très active autour de Suricata (OSIF : Open Information Security
Foundation )
2 Rôles principaux
Active : IPS
Passif : IDS
Il utilise un ensemble de règles prédéfini pour détecter la Traffic malicieux
Ses logs peuvent être forwardé vers des SIEM pour plus de corrélation
 Déployer et configurer
Suricata

Hamza KONDAH
Une formation
 Comprendre les règles suricata

Hamza KONDAH
Une formation
Les Règles Suricata

drop tcp $HOME_NET any -> $EXTERNAL_NET any (msg:”ET TROJAN Likely Bot Nick
in IRC (USA +..)”; flow:established,to_server; flowbits:isset,is_proto_irc;
content:”NICK “; pcre:”/NICK .*USA.*[0-9]{3,}/i”;
reference:url,doc.emergingthreats.net/2008124; classtype:trojan-activity;
sid:2008124; rev:2;)
 Forwarder les logs Suricata
à Splunk

Hamza KONDAH
Une formation
 Découvrir la solution SELKS

Hamza KONDAH
Une formation
SELKS
SELKS est une distribution opensource basée sur Debian
En plus d’une interface simple et intuitive, il possède un stack d’outils lui permettant d’assurer de la
détection et prévention d’intrusion, de la surveillance de la sécurité réseau (NSM) et du Threat
Hunting
S - Suricata IDPS/NSM
E - Elasticsearch
L - Logstash
K - Kibana
S - Scirius CE
EveBox
Arkime
CyberChef
SELKS
 Comprendre le concept
d’Adversary Emulation

Hamza KONDAH
Une formation
Adversary Emulation
L’Adversary Emulation est un type particulier des exercices Red Team
Il consiste à imiter les actions effectuées par des groupes APT, des menaces avancées, ou tout
simplement des modes opératoires connues pour être utilisés par des attaquants
Les équipes construisent un(des) scénario(s) pour tester certains aspects des tactiques, techniques
et procédures (TTP) d'un adversaire
L'équipe rouge suit ensuite le scénario afin de tester comment les défenses pourraient se
comporter contre l'adversaire émulé

https://www.slideshare.net/AdamPennington4/rhisac-summit-2019-adam-pennington-leveraging-mitre-attck-for-detection-
analysis-defense
 MITRE ATT&CK
Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus
du MITRE (Cadre de projet FMX)
ATT&CK signifie Adversarial Tactics, Techniques, and Common
Knowledge
Documentation des TTPs courantes utilisées par les menaces
persistantes avancées (APT)
Le MITRE ATT&CK est un point de départ
Threat intelligence
Voir l’image en grand  (Des logs biensure)
Ligne défensive efficace
Analyse forensique
Une formation
TTPs : Tactiques, Techniques et Procédures
La Tactique : L’objectif d’un attaquant
Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs
“techniques”
Sous-techniques : Elles décrivent les actions et le comportement de l'adversaire à un
niveau inférieur et plus technique
Procédures : Mises en œuvre spécifiques que les adversaires utilisent pour une
technique ou une sous-technique
 Outils
Caldera
ATTPwin
Atomic RedTeam
RTA - Red Team Automation
Infection Monkey
Invoke-Adversary
Cymulate
Cobalt Strike
Immunity Adversary Simulation

Une formation
 Concevoir un exercice
d'Adversary Emulation

Hamza KONDAH
Une formation
Adversary Emulation

Emotet : https://www.capfi.fr/la-newsroom/blog/caldera-comment-identifier-ses-faiblesses-face-aux-cyberattaques/
 Déployer des opérations d’AE
avec Atomic Red Team

Hamza KONDAH
Une formation
 Atomic Red Team
Un projet démarré par l’équipe de Red Canary
(https://redcanary.com/)
Un projet Open Source avec une grande communauté
Une librairie d’attaques scriptées
Permet d’effectuer notamment de l’émulation adverse
Détection : Blue Teams
Validation des mesures de sécurité
Ajuster les configurations
Evaluer les produits de sécurité

Une formation
 Déployer des opérations
D’AE avec Caldera

Hamza KONDAH
Une formation
Caldera
CALDERA™ est un framework de cybersécurité développé par MITRE qui permet aux
Red Teamer d'économiser du temps, de l'argent et de l'énergie grâce à des évaluations
de sécurité automatisées
1. Charger l’agent CALDERA sur les hôtes du réseau
2. Créer un adversaire en lui donnant des capacités
3. Lancer l'opération
Caldera : Actions supportées
 Déployer des opérations
D’AE avec PurpleSharp

Hamza KONDAH
Une formation
 Introduction au SIEM

Hamza KONDAH
Une formation
Introduction aux SIEM
Système de gestion des événements et des informations de sécurité (SIEM)
Point de gestion de logs centralisé
Un rôle principale : Visibilité sur les activités d’un système d’information
Leurs richesses : Plus il y a de logs, plus on s’amusent
Périphériques réseaux
Serveurs
Dispositifs de sécurité
Applications

Collecte Corrélation Analyse Réaction

Analyse des logs avec un SIEM
 Se positionner au niveau
de l'analyse avec un SIEM

Hamza KONDAH
Une formation
Se positionner au niveau de l’analyse de logs
Dans notre contexte, nous allons utiliser Splunk comme SIEM
Nous n’allons pas utiliser d’application Premium
Nos objectifs sont : la prise en mains, la recherche, l’analyse et surtout, la structuration des
connaissances
Notre SIEM sera un point centralisé des logs qu’on a pu envoyer jusqu’à maintenant

Splunk
Se positionner au niveau de l’analyse de logs
 « SOC = Sécurité absolue »
Un saint expert cybersécurité
Le problème du SOC
Une pléthore de solution de sécurité
Des ressources humaines rarissime : Threat Actor > Blue Teams
Un temps de réponse inefficace,
La découverte d’une compromission se passe parfois plusieurs mois après l’action
Des acteurs de menaces de plus en plus organisés et structurés (avec des outils
sophistiqués)
Vous avez accès à des EDR,SIEM… eux aussi  Techniques d’évasions qui ne manquent
pas
L’imperfection est humaine…
Les attaquants changent, pas les TTPs
 Découvrir les méthodologies
d'analyse avec un SIEM

Hamza KONDAH
Une formation
Méthodologie d'analyse
Méthodologie d'analyse
 Appréhender le modèle
Splunk CIM

Hamza KONDAH
Une formation
Découvrir le CIM
Le modèle d'information commun (CIM) de Splunk est un modèle
sémantique partagé axé sur l'extraction de la valeur des données
 Découvrir les applications
de sécurité premium de Splunk

Hamza KONDAH
Une formation
Applications de sécurité premium de Splunk
Splunk possède des licences complémentaires afin d’étendre ses capacités
SIEM, SOAR et UEBA
Splunk Enterprise Security
Splunk User Behavior Analytics
Splunk Phantom
Splunk Security Cloud Foundations
 Concevoir un plan
d'émulation des menaces

Hamza KONDAH
Une formation
 Modéliser un plan d'émulation
des mances avec Vectr

Hamza KONDAH
Une formation
La solution Vectr
VECTR est une plate-forme de purple teaming permettant de modéliser des approches
d’émulations d'adversaires
Son but est de documenter les attaques, de mesurer l'efficacité des outils défensifs,
renforcer la sécurité et améliorer les capacités de détection grâce au suivi des
performances actuelles et historiques
 Détecter et analyser les techniques
d'accès initiaux avec Splunk

Hamza KONDAH
Une formation
 Détecter et analyser les techniques
d'exécution avec Splunk

Hamza KONDAH
Une formation
 Détecter et analyser les techniques
d'élévation de privilèges avec Splunk

Hamza KONDAH
Une formation
 Détecter et analyser les techniques
de persistance avec Splunk

Hamza KONDAH
Une formation
 Détecter et analyser les techniques
de Credential Access avec Splunk

Hamza KONDAH
Une formation
 Détecter et analyser les techniques
d'exfiltration de données avec Splunk

Hamza KONDAH
Une formation
 Détecter et analyser les techniques
de ransoming avec Splunk

Hamza KONDAH
Une formation
 Introduire la solution
SIGMA

Hamza KONDAH
Une formation
 Introduction
SIGMA est un projet de Florien Roth (@cyb3rops) et Thomas
Patzke(@blubbfiction)
Lien Github : https://github.com/SigmaHQ/sigma
Format de signature générique et ouvert
Il vient pour résoudre un principale problème
La pléthore de technologies (SIEM)
Description universel d’une menace/use case
L'écriture de règles Sigma est assez simple et suit le format de
sérialisation YAML
L'une des meilleures fonctionnalités est qu'il ne se limite pas à un
fichier journal ou à une extension particulière
Une formation
Avantages SIGMA

Évolutivité

Simplicité Communauté
Use cases
Développer des règles reflétant votre angle d’analyse
Eviter la dépendance vis-à-vis des éditeurs
Partager des signatures de manière communautaires (Incluant avec MISP)
Adapter les règles à votre contexte
Technologies supportées
 Exploiter SIGMA
pour la détection de menaces

Hamza KONDAH
Une formation
 Conclusion

Hamza KONDAH
Une formation
 Bilan de la formation
Dompter le concept de journalisation
Déployer Sysmon pour enrichir les logs
Comprendre, déployer et configurer osquery
Comprendre, déployer et configurer Zeek
Comprendre, déployer et configurer Suricata
Comprendre et implémenter des exercices d‘Adversary Emulation
Exploiter des SIEM afin de détecter des menaces
Découvrir SIGMA pour la détection de menace
Appréhender l'essentiel de réponse à incident
Une formation
 Boss Of The SOC
Boss of the SOC est une compétition de type CTF proposé par
Splunk
Nous allons exploiter ces datasets afin d’aiguiser nos compétences
en Threat Hunting
Essayez de faire les questions avant de voir les solutions !
Boss of The SOC v1
https://github.com/splunk/botsv1
Boss of The SOC v2
https://github.com/splunk/botsv2

Une formation
Prochaine formation