Lecture automatique
Saisie automatique
Conférence précédente
Terminer et continuer
L'essentiel de la réponse à incident et de l'analyse forensique
Introduction au cours
Introduction (2:19)
Comment obtenir de l'aide?
Allez plus loin dans le cours grâce à Facebook et Linkedin
Construction d'un environnement Active Directory dans Azure
Créer un compte Azure gratuit (0:56)
Créer un ressource group (2:16)
Créer un VNET (2:28)
Créer un serveur Active Directory 1/3 (5:54)
Créer un serveur Active Directory 2/3 (1:19)
Créer un serveur Active Directory 3/3 (3:00)
Ajouter des utilisateurs dans Active Directory (5:47)
Créer l'ordinateur du pirate et le lier à Active Directory pour l'authentification (10:52)
Créer l'ordinateur du CEO et le lier à Active Directory pour l'authentification (13:35)
Suivre les coûts du lab dans Azure (1:23)
Supprimer son lab (et stopper sa facturation!) (0:35)
Configurer les logs de sécurité dans un environnement Active Directory
Installer Sysmon pour enregistrer le maximum d'événements dans des logs (6:50)
Configurer des "audit policies" Windows avec Active Directory (8:25)
Configurer le SIEM d'Azure (Sentinel) pour analyser les logs
Créer un espace de stockage de logs : Log analytics workspace (2:18)
Envoyer les logs Windows vers le log analytics workspace (3:15)
Créer un SIEM Sentinel (0:52)
Configurer Sentinel pour collecter les logs de sécurité (2:14)
Vérifier que les logs Windows sont analysables dans Azure Sentinel (3:22)
Introduction à Carbon Black : un EDR qui facilite les réponses à incident
Carbon Black : EDR (2:45)
Simulation d'un espionnage interne
Création du document "confidentiel" par Daniel le CEO (2:23)
Fabien le pirate recherche la liste des administrateurs du domaine (2:23)
Le pirate lance une attaque brute force sur le compte "
[email protected]
" (5:53)
Connexion du pirate sur l'Active Directory afin de déterminer l'IP de l'ordinateur du CEO (2:57)
Le pirate se connecte sur l'ordinateur du CEO pour y voler un document (3:29)
Le pirate supprime les fichiers volés et les logs de son ordinateur (3:01)
Intervention de réponse à incident
Prise de connaissance de la mission (1:06)
Carbon Black (EDR) : Validation de l'incident (3:12)
Carbon Black (EDR) : Détermination de la source de l'attaque (1:46)
Carbon Black (EDR) : plus de doute sur l'identité du pirate (5:51)
EDR : Exemples d’événements et de programmes à investiguer pour détecter les pirates
Azure Sentinel (SIEM) : Rapports de "hunting" et introduction aux requêtes "Kusto" (8:11)
Azure Sentinel (SIEM) : détection d'une connexion suspecte sur l'ordinateur du CEO (3:21)
Azure Sentinel (SIEM) : plus de doute sur l'identité du pirate (5:31)
Azure Sentinel (SIEM) : Zoom sur les logs Active Directory qu'il te faut connaitre par coeur (12:48)
Azure Sentinel (SIEM) : Zoom sur les logs Sysmon (5:25)
SIEM : tracker les attaques avancées avec des logs Windows
Analyse forensique Windows
Introduction à l'analyse forensique de disque (0:39)
Méthode de capture à privilégier : système éteint (4:23)
Méthode de capture quand impossible d'accéder au BIOS : Brancher un disque dur externe sur l'ordinateur du pirate (5:03)
Méthode de capture quand impossible d'accéder au BIOS : Réaliser une image bit par bit du disque dur du pirate (2:07)
Créer un "case" dans Autopsy et importer le disque à analyser (5:09)
Analyse le disque dur avec Autopsy pour y trouver des preuves : la méthode rapide (4:18)
Rédaction du rapport
Rédaction d'un rapport professionnel (3:04)
Pour aller plus loin!
Introduction au cours "l'essentiel du hacking éthique" (1:35)
Teach online with
Carbon Black (EDR) : Détermination de la source de l'attaque
Contenu de la conférence verrouillé
Si vous êtes déjà inscrit,
vous devrez vous connecter
.
S'inscrire au cours pour déverrouiller