Les logs PowerShell

Malgré tous les mécanismes de protection du système d’information que nous avons vus jusqu’ici, il n’est pas impossible qu’un attaquant prenne pied dans le SI. Comme les premiers chapitres l’ont montré, PowerShell peut se transformer en arme entre leurs mains. Si la phase de compromission initiale est passée sans détection de la part des défenseurs, il y a fort à parier que l’attaquant utilisera PowerShell à un moment ou à un autre.

Dans une optique de défense en profondeur, la supervision de PowerShell est donc un élément particulièrement intéressant. Techniquement, nous avons déjà un début de supervision dans la section précédente, puisque sysmon remonte tous les lancements de processus avec la ligne de commande associée. Il est en conséquence déjà possible de rechercher tous les lancements de PowerShell.exe, avec l’option dédiée -EncodedCommand.

Néanmoins, cette approche va rapidement manquer en verbosité, ce qui empêchera les analystes de savoir ce qu’il s’est passé. De plus, elle ne verra rien des accès interactifs à la console. Il est donc nécessaire de faire journaliser PowerShell à un niveau plus élevé pour fournir aux équipes de détection et de réponse un maximum d’informations. Heureusement, PowerShell fournit...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Collecter les logs Windows et Sysmon
Suivant
Surveiller avec un SIEM