Paniquez pas, on grep !

Magazine
Marque
MISC
Numéro
95
Mois de parution
janvier 2018
Domaines


Résumé

Une réponse à incidents est un exercice qui n'est pas forcément complexe en soi. Malheureusement, étant peu communément pratiqué, la difficulté est d'y être entraîné, préparé et d'obtenir ce qu'il faut comme artefacts.


 

Afin d'illustrer ce sujet, je vous propose de dérouler un exemple de début de réponse à un incident évidemment totalement fictif sous forme d'une tranche de vie, ce qui nous permettra de découvrir toutes les embûches dans lesquelles tout le monde tombe au moins une fois et que l’on souhaiterait éviter. Prenons donc l'exemple d'une détection de code malveillant sur un poste de travail.

1. SIR l'arrière-garde est attaquée !

C'est évidemment un vendredi vers 16h30 que tout commence, lorsque l'équipe SOC vous remonte une alerte émise par un des antivirus du parc des postes de travail. Celui-ci est catégorique : détection sur une des machines du parc d'un « WIN32.Trojan.Gen ». Le ticket est prolixe : « C'est quoi ? On fait quoi ? »

Sur le terrain, on est généralement confronté à deux types de population : ceux qui décident que de toute façon l'antivirus a nettoyé le poste et donc que l'incident est clos ; et ceux qui aimeraient avoir...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Doper votre SIEM pour la réponse sur incident

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

L’analyse de disques durs

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

L’analyse forensique de disques durs a toujours présenté des défis quotidiens, mais le problème actuel est la taille grandissante des supports de stockage. Quelles conséquences pour les experts et comment s’adapter ?

Introduction au dossier : Les fondamentaux de l'analyse forensique

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.

DFIR : hier, aujourd’hui et demain

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

La réponse aux incidents et son alter ego l’investigation numérique sont des activités plus que trentenaires qui restent ô combien d’actualité – rançongiciels par-ci, APT par-là. Au-delà des (r)évolutions des technologies et des usages – dont le Cloud – leurs fondations ont résisté au temps.

Collecte d'artefacts en environnement Windows avec DFIR-ORC

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dès le début de la réponse à incident se pose la question de la collecte de preuves afin de mener à bien les investigations numériques. Rapidement, les problématiques techniques d'échelle, d'hétérogénéité du parc ou de confidentialité font leur apparition. DFIR-ORC tente d'adresser ces sujets en permettant la capture forensique à un instant T d'une machine Windows.