Ce sont les logs qui ont le plus de valeur pour pouvoir analyser une attaque. Comment les sauver de toutes les attaques qu’ils subissent ?
Les solutions de sécurité modernes (SIEM, EDR, antivirus) sont toutes fondées sur l’exploitation des logs du système d’exploitation. Ils deviennent naturellement la cible des attaquants, qui mettent en œuvre des solutions de contournement toujours plus sophistiquées. Il est primordial de comprendre ces solutions, du point de vue de la détection, afin d’évaluer la qualité de notre détection et/ou de nos investigations.
1. ETW 101
On distingue trois notions importantes : les providers, les sessions et les consumers.
Les providers correspondent aux modules qui émettent les logs. N’importe quel dll ou exécutable peut devenir un provider. Pour ce faire, il suffit d’utiliser l’API Windows, et plus précisément les fonctions contenues dans le module Advapi32.dll.
Les sessions nous permettent de configurer un ou plusieurs providers. Le gestionnaire d'événement s'appuie sur la…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première