Introduction au cours
Construction d'un environnement Active Directory dans Azure
-
Créer un compte Azure gratuit (0:56)
-
Créer un ressource group (2:16)
-
Créer un VNET (2:28)
-
Créer un serveur Active Directory 1/3 (5:54)
-
Créer un serveur Active Directory 2/3 (1:19)
-
Créer un serveur Active Directory 3/3 (3:00)
-
Ajouter des utilisateurs dans Active Directory (5:47)
-
Créer l'ordinateur du pirate et le lier à Active Directory pour l'authentification (10:52)
-
Créer l'ordinateur du CEO et le lier à Active Directory pour l'authentification (13:35)
-
Suivre les coûts du lab dans Azure (1:23)
-
Supprimer son lab (et stopper sa facturation!) (0:35)
Configurer les logs de sécurité dans un environnement Active Directory
Configurer le SIEM d'Azure (Sentinel) pour analyser les logs
Introduction à Carbon Black : un EDR qui facilite les réponses à incident
Simulation d'un espionnage interne
-
Création du document "confidentiel" par Daniel le CEO (2:23)
-
Fabien le pirate recherche la liste des administrateurs du domaine (2:23)
-
Le pirate lance une attaque brute force sur le compte "[email protected]" (5:53)
-
Connexion du pirate sur l'Active Directory afin de déterminer l'IP de l'ordinateur du CEO (2:57)
-
Le pirate se connecte sur l'ordinateur du CEO pour y voler un document (3:29)
-
Le pirate supprime les fichiers volés et les logs de son ordinateur (3:01)
Intervention de réponse à incident
-
Prise de connaissance de la mission (1:06)
-
Carbon Black (EDR) : Validation de l'incident (3:12)
-
Carbon Black (EDR) : Détermination de la source de l'attaque (1:46)
-
Carbon Black (EDR) : plus de doute sur l'identité du pirate (5:51)
-
EDR : Exemples d’événements et de programmes à investiguer pour détecter les pirates
-
Azure Sentinel (SIEM) : Rapports de "hunting" et introduction aux requêtes "Kusto" (8:11)
-
Azure Sentinel (SIEM) : détection d'une connexion suspecte sur l'ordinateur du CEO (3:21)
-
Azure Sentinel (SIEM) : plus de doute sur l'identité du pirate (5:31)
-
Azure Sentinel (SIEM) : Zoom sur les logs Active Directory qu'il te faut connaitre par coeur (12:48)
-
Azure Sentinel (SIEM) : Zoom sur les logs Sysmon (5:25)
-
SIEM : tracker les attaques avancées avec des logs Windows
Analyse forensique Windows
-
Introduction à l'analyse forensique de disque (0:39)
-
Méthode de capture à privilégier : système éteint (4:23)
-
Méthode de capture quand impossible d'accéder au BIOS : Brancher un disque dur externe sur l'ordinateur du pirate (5:03)
-
Méthode de capture quand impossible d'accéder au BIOS : Réaliser une image bit par bit du disque dur du pirate (2:07)
-
Créer un "case" dans Autopsy et importer le disque à analyser (5:09)
-
Analyse le disque dur avec Autopsy pour y trouver des preuves : la méthode rapide (4:18)
Rédaction du rapport
Pour aller plus loin!
