Lecture automatique
Saisie automatique
Conférence précédente
Terminer et continuer
L'essentiel de la réponse à incident et de l'analyse forensique
Introduction au cours
Introduction (2:19)
Comment obtenir de l'aide?
Allez plus loin dans le cours grâce à Facebook et Linkedin
Construction d'un environnement Active Directory dans Azure
Créer un compte Azure gratuit (0:56)
Créer un ressource group (2:16)
Créer un VNET (2:28)
Créer un serveur Active Directory 1/3 (5:54)
Créer un serveur Active Directory 2/3 (1:19)
Créer un serveur Active Directory 3/3 (3:00)
Ajouter des utilisateurs dans Active Directory (5:47)
Créer l'ordinateur du pirate et le lier à Active Directory pour l'authentification (10:52)
Créer l'ordinateur du CEO et le lier à Active Directory pour l'authentification (13:35)
Suivre les coûts du lab dans Azure (1:23)
Supprimer son lab (et stopper sa facturation!) (0:35)
Configurer les logs de sécurité dans un environnement Active Directory
Installer Sysmon pour enregistrer le maximum d'événements dans des logs (6:50)
Configurer des "audit policies" Windows avec Active Directory (8:25)
Configurer le SIEM d'Azure (Sentinel) pour analyser les logs
Créer un espace de stockage de logs : Log analytics workspace (2:18)
Envoyer les logs Windows vers le log analytics workspace (3:15)
Créer un SIEM Sentinel (0:52)
Configurer Sentinel pour collecter les logs de sécurité (2:14)
Vérifier que les logs Windows sont analysables dans Azure Sentinel (3:22)
Introduction à Carbon Black : un EDR qui facilite les réponses à incident
Carbon Black : EDR (2:45)
Simulation d'un espionnage interne
Création du document "confidentiel" par Daniel le CEO (2:23)
Fabien le pirate recherche la liste des administrateurs du domaine (2:23)
Le pirate lance une attaque brute force sur le compte "
[email protected]
" (5:53)
Connexion du pirate sur l'Active Directory afin de déterminer l'IP de l'ordinateur du CEO (2:57)
Le pirate se connecte sur l'ordinateur du CEO pour y voler un document (3:29)
Le pirate supprime les fichiers volés et les logs de son ordinateur (3:01)
Intervention de réponse à incident
Prise de connaissance de la mission (1:06)
Carbon Black (EDR) : Validation de l'incident (3:12)
Carbon Black (EDR) : Détermination de la source de l'attaque (1:46)
Carbon Black (EDR) : plus de doute sur l'identité du pirate (5:51)
EDR : Exemples d’événements et de programmes à investiguer pour détecter les pirates
Azure Sentinel (SIEM) : Rapports de "hunting" et introduction aux requêtes "Kusto" (8:11)
Azure Sentinel (SIEM) : détection d'une connexion suspecte sur l'ordinateur du CEO (3:21)
Azure Sentinel (SIEM) : plus de doute sur l'identité du pirate (5:31)
Azure Sentinel (SIEM) : Zoom sur les logs Active Directory qu'il te faut connaitre par coeur (12:48)
Azure Sentinel (SIEM) : Zoom sur les logs Sysmon (5:25)
SIEM : tracker les attaques avancées avec des logs Windows
Analyse forensique Windows
Introduction à l'analyse forensique de disque (0:39)
Méthode de capture à privilégier : système éteint (4:23)
Méthode de capture quand impossible d'accéder au BIOS : Brancher un disque dur externe sur l'ordinateur du pirate (5:03)
Méthode de capture quand impossible d'accéder au BIOS : Réaliser une image bit par bit du disque dur du pirate (2:07)
Créer un "case" dans Autopsy et importer le disque à analyser (5:09)
Analyse le disque dur avec Autopsy pour y trouver des preuves : la méthode rapide (4:18)
Rédaction du rapport
Rédaction d'un rapport professionnel (3:04)
Pour aller plus loin!
Introduction au cours "l'essentiel du hacking éthique" (1:35)
Teach online with
Connexion du pirate sur l'Active Directory afin de déterminer l'IP de l'ordinateur du CEO
Contenu de la conférence verrouillé
Si vous êtes déjà inscrit,
vous devrez vous connecter
.
S'inscrire au cours pour déverrouiller