Cet article présente une introduction à l’analyse des logs et des flux réseau dans le contexte d’un incident, de type APT ou SPT (Simple Persistent Threat pour les intimes), sur un grand parc client. Ce domaine étant vaste, cet article d’introduction s'attachera à comprendre et analyser les besoins et les aspects pratiques de l'analyse des logs et du réseau. Il se poursuivra sur des exemples, idées et axes de réflexion utiles sur le terrain d'une réponse sur incident.
1. Le passé de l’incident - Traitement des logs
1.1 Besoin, état de l’art
Le traitement des logs est l’exercice d’analyse réalisé, le plus souvent, au cours d’une réponse sur incident pour évaluer rapidement la gravité d’une compromission survenue dans le passé. Pour des aspects légaux [1] et de simplicité de manipulation, l'étude des logs est souvent préférée à une analyse des flux réseau, laquelle nécessite des modifications et des interventions sur l'architecture réseau. L'analyse des flux réseau sera, elle, utilisée pour une analyse plus approfondie et la réactivité au fil de l'eau.
Dans le cadre des incidents définis en introduction, l’analyse des logs sera le plus souvent l’étude des journaux proxy. On partira du principe que ces derniers sont effectivement collectés et archivés de façon centralisée et ont pour utilité :
- identifier les machines et comptes compromis ;
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première