Cover Image

Intégrer la CTI à QRadar #3 – Python et QRadar

- Reading time: 24 minutes - | FR | Series | QRadar | OpenCTI |

Nous voici dans le troisième épisode de cette série d’articles axée sur la CTI intégrée à QRadar. Nous avons vu précédemment comment interagir avec OpenCTI et comment récupérer les informations présentes sur la plateforme.

Dans la suite de cet article vous allez voir le côté technique de la deuxième partie du script présenté en introduction de cette série d’articles, à savoir comment interagir avec QRadar. Vous allez apprendre non seulement à récupérer des informations présentes sur votre instance QRadar mais également comment modifier des informations. Nous verrons quelques bases ainsi que quelques exemples mais les principes généraux qui vont être expliqués sont utilisables et modifiables selon vos souhaits.

...

Cover Image

Intégrer la CTI à QRadar #2 – OpenCTI et GraphQL

- Reading time: 23 minutes - | FR | Series | QRadar | OpenCTI |

Nous voici dans le deuxième épisode de cette série d’articles axée sur la CTI intégrée à QRadar. Nous avons vu précédemment que nous utilisions OpenCTI qui est une solution très complète ouverte au grand public.

Dans la suite de cet article vous allez voir toutes les étapes pour comprendre techniquement comment va être faite la partie orientée OpenCTI du script. Vous allez apprendre non seulement à interagir avec OpenCTI pour y récupérer des informations mais également à scripter le tout pour être le plus exhaustif et précis possible dans ce que vous souhaitez.

Vous verrez que nous allons nous focaliser sur les observables "IPv4" mais il y a bien d’autres observables sur la plateforme que vous serez en mesure de récupérer en utilisant le même procédé que celui que nous allons voir juste après.

...

Cover Image

Intégrer la CTI à QRadar #1 – Présentation du projet

- Reading time: 14 minutes - | FR | Series | QRadar | OpenCTI |

Bonjour à tous, nous voici dans une nouvelle série d’articles axée autour de la Cyber Threat Intelligence (CTI) ainsi que de son intégration dans QRadar.

La CTI est une partie très importante dans la sécurité informatique pour se prémunir au mieux des menaces pouvant exister. Sans rentrer dans les détails de cette discipline, voici une brève explication de ce domaine.

La CTI est une technique basée sur le renseignement et l’agrégation d’informations pour connaître au mieux les techniques mais également les IoC (Indice of Compromission) des attaquants. Ces données sont récupérées de diverses manières, après des incidents, après des attaques bloquées…

La finalité est ainsi de pouvoir contrer au mieux les futures attaques en connaissant les traces laissées par ces derniers sur d’autres systèmes de surveillance.

...

Cover Image

Utilisation de Pulse

- Reading time: 31 minutes - | FR | Tips | QRadar |

Dans cet article nous allons parler de l’extension Pulse sur QRadar. Cette extension permet de manipuler les données pour les afficher sous différentes formes. Elle peut également interagir avec différentes sources comme l’API QRadar, des recherches AQL ou encore des scripts.

...

Cover Image

La magie du XPath

- Reading time: 16 minutes - | FR | Tips | QRadar | Windows |

Dans cet article, nous allons voir comment il est possible de d’envoyer vers QRadar (quasiment) tous les logs qu’une machine Windows récupère. Vous avez vu précédemment comment mettre en place la collecte d’une machine Windows via un agent Wincollect, mais nous n’avions pas creusé ce qui est récupéré par cet agent.

Pour mieux comprendre la suite, il faut d’abord savoir que :

  • Microsoft divise les logs en 6 catégories + un dossier contenant les logs des applications et services de la machine
  • Les 6 catégories sont requêtables par l’agent Wincollect

...

Collecte de logs Synology #1 : Configuration du syslog

- Reading time: 26 minutes - | FR | Series | Synology | QRadar |

Bonjour à tous, nous voici dans cette nouvelle série d’articles axée sur la collecte d’événements ainsi que la mise en place de scenarii pour les équipements NAS Synology.

En effet, ces équipements sont de plus en plus utilisés par les petites entreprises comme par les particuliers mais je n’ai pas trouvé de solution satisfaisante à la supervision de ce qu’il se passait sur vos NAS.

J’ai donc décidé de partir de zéro et à la suite de cette série vous serez à même de pouvoir faire pareil et ainsi superviser les création, modification ou encore suppression de fichiers mais également contrôler les connexions à votre serveur VPN hébergé sur votre NAS.

Enfin, pour conclure avant la partie technique voici comment va s’articuler la série :

  1. Comment récupérer les logs sur votre NAS
  2. Comment collecter les logs sur QRadar
  3. Créer des règles de détection

...