Getting the Most Out of Windows Event Logs par David SZILI
Une erreur faite par beaucoup d'équipes de sécurité informatique est qu'il collectent une grande quantité d'événements, tellement que leur solution de Security Information and Event Management (SIEM) croule sous les données, rendant cette solution lente et inefficace. "Collectez tous les événements !!!" semble être une bonne théorie, en pratique, moins c'est plus, il faut sélectionner et se concentrer sur les événements qui ont une véritable valeur en matière de sécurité et qui peut effectivement aider. Cependant, que se passe t-il si nous n'avons pas les moyens de nous offrir un SIEM ou une équipe
suffisante/les compétences pour en déployer et maintenir un? Heureusement, dans les environnements Microsoft Windows, nous avons un outil gratuit et intégré à notre disposition pour se lancer rapidement dans le monitoring de sécurité et la chasse aux historiques d'événements Windows.
Durant ce workshop, nous verrons quelques-uns des plus importants événements Windows qui peuvent être collectés, tels que AppLocker, les événements EMET, la création d'utilisateurs et/ou de services, des commandes PowerShell, etc. Nous verrons comment configurer proprement Advanced Audit Policy Settings
ainsi que comment collecter les événements avec Windows Event Forwarding (WEF) et finir sur la mise en place de Sysmon pour
une application avancée ainsi que le monitoring des processus.
Une fois que nous avons la liste des événements qui nous intéressent, nous verrons quelques commandes PowerShel ainsi que des modules qui pourront nous aider à les décortiquer, tel que Get-WineEvent.
Nous testerons également des scripts et des outils créés pour le monitoring et la détection, comme DeepBlueCLI.
Pour finir, nous utiliseront Power BI Desktop pour monter notre propre dashboard et avoir un meilleur aperçu des données collectées.
À propos de davidszili :
David Szili is the CTO of Alzette Information Security with penetration testing, security monitoring and incident response background, previously working for companies like POST Telecom PSF, Dimension Data, Deloitte and Balabit.
David has two Master’s degrees in Computer Engineering and in Networks and Telecommunication and a Bachelor’s degree in Electrical Engineering. He also holds several IT security certifications such as GSEC, GCED, GCIA, GCIH, GMON, GMOB, OSCP, OSWP and CEH.
In his spare time, David likes working on hobby electronics projects, develop new IT security tools or sharpen his skills with CTFs and bug bounty programs.