Introduction

Ce huitième et dernier chapitre aborde la supervision de sécurité d’un SI avec une focalisation sur PowerShell. En effet, les chapitres précédents ont tous montré que toutes les techniques d’attaque et de défense ne sont pas "absolues" (aucun système ne sera jamais invulnérable). Il n’existe pas d’actions offensives indétectables, ni de systèmes d’information invulnérables. Dans ce contexte, la maîtrise et la bonne connaissance du SI sont des éléments indispensables à sa sécurisation. Dans ce but, la mise en place d’une supervision de sécurité est un élément majeur qui permet une meilleure visibilité, tout en permettant également d’améliorer la compréhension de l’activité de son système d’information.

Ce chapitre va donc se concentrer sur la gestion des logs dans un environnement Windows et PowerShell. Il y sera d’abord abordé la supervision avec Sysmon sur les machines du Lab. Nous verrons ainsi comment tracer les actions réalisées avec PowerShell, et comment transmettre ces journaux vers un serveur de collecte. Nous verrons une technique possible pour les relayer à un serveur syslog. Nous installerons enfin une petite instance du logiciel Splunk pour indexer et rechercher des informations dans ces traces.

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Conclusion
Suivant
Collecter les logs Windows et Sysmon