Utilisation d’OpenIOC OpenIOC

1. Présentation

OpenIOC est un outil permettant de gérer ses indicateurs de compromission. C’est un outil disponible à l’adresse suivante : https://www.fireeye.com/services/freeware.html. Il est développé par la société FireEye spécialisée dans l’analyse inforensique et la réponse d’incident.

Ce framework s’appuie sur la technologie XML pour stocker les indicateurs de compromission. Pour créer ces fichiers XML, il est nécessaire d’avoir les modèles de structures. La société FireEye met à disposition des fichiers de modèles à l’adresse suivante : https://github.com/mandiant/OpenIOC_1.1

images/07EP02.PNG

2. Utilisation

Le travail du gestionnaire des indicateurs de compromission est de créer le fichier XML correspondant au cas en cours d’investigation. Voici un modèle XML correspondant à l’identification d’une clé de registre :

<?xml version="1.0" encoding="utf-8"?> 
<xs:schema elementFormDefault="qualified" 
xmlns:xs="http://www.w3.org/2001/XMLSchema"> 
  <xs:element name="HiveItem" nillable="true" 
type="RegistryHiveItem" /> 
  <xs:complexType name="RegistryHiveItem"> 
    <xs:complexContent mixed="false"> 
      <xs:extension base="ItemBase"> ...
Pour consulter la suite, découvrez le livre suivant :
couv_EP3MAL.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Artefacts système sous Windows
Suivant
Conclusion