Cover Image

Projet #1 – Supervision Android

- Reading time: 36 minutes

Bonjour à tous, nous allons voir ensemble comment mettre en place une collecte du trafic réseau de vos appareils Android. Le but est de vous montrer les capacités des différents blocs qui seront utilisés dans l’architecture de collecte pour que vous puissiez les ajuster selon vos besoins.

Rentrons maintenant dans le cœur du sujet, les appareils portables tel que les smartphones sont de plus en plus utilisés pour les tâches du quotidien mais paradoxalement ce sont les derniers pour lesquels la supervision “classique” est mise en place. En effet, là où vous pouvez retrouver des sondes de tous types sur PC, très peu d’applications fournissent un travail similaire. Bien entendu, les acteurs majeurs, tel que Microsoft, Google, ont pris les devants avec des solutions cloud, mais le plus souvent ces solutions sont axées aux professionnels et vous n’avez que très peu de visibilité sur ce qui est fait.

C’est donc pour cela que j’ai creusé le sujet pour voir ce qu’il était possible de faire sur ces petits appareils à la fois si puissants mais tellement exposés. Etant donné que la plupart des smartphones sont majoritairement basés sur un noyau Linux, il est donc normal de penser que ce que l’on peut faire sur un serveur Linux peut être répliqué sur un smartphone. Seulement, nous faisons face ici une autre problématique : le rootage de son téléphone, puisqu’avec tous les droits sur son appareil il est bien entendu possible de faire tout ce que l’on souhaite avec. Seulement l’objectif ici est de déformer au minimum la configuration ainsi que l’intégrité du téléphone.

...

Cover Image

HowTo #5 – Modifier le fichier de configuration QRadar (FR)

- Reading time: 4 minutes

Bonjour à tous, nous allons découvrir aujourd’hui comment modifier le fichier de configuration de QRadar et ainsi activer ou modifier des options cachées. Ces options sont le plus souvent à utiliser dans des environnements de test car leurs modifications peut avoir un impact fort sur votre infrastructure.

Attention : Je ne suis en aucun cas responsable d’un dysfonctionnement qui surviendrait suite à des actions décrites sur cette page. C’est donc pour cela que je vous invite à effectuer des tests au préalable et/ou faire des sauvegardes des fichiers modifiés avant de mettre en production des changements.

...

Cover Image

HowTo #4 – Maîtriser les subqueries AQL (FR)

- Reading time: 10 minutes

Bonjour à tous, nous allons découvrir aujourd’hui un fonctionnement plus avancé des requêtes AQL, j’ai nommé les “subqueries” ou “sous-requêtes”.

Elle permet de faire des actions impossibles à faire avec de simples requêtes mais également de combiner plus requêtes et donc potentiellement plusieurs tâches en une seule fois.

Il existe deux types de sous-requêtes :

  1. celles qui permettent de définir les données qui vont être utilisées par la requête principale
  2. celles qui permettent de filtrer une propriété en fonction d’une ou plusieurs valeurs issues des résultats d’une autre requête

...

Cover Image

HowTo #3 – Monitorer les EPS (FR)

- Reading time: 9 minutes

Bonjour à tous, nous allons découvrir aujourd’hui comment superviser vos EPS (Events Per Second) sur votre infrastructure QRadar de manière ludique. En effet, une bonne maîtrise et compréhension des variations d’EPS est la base d’un QRadar sain puisque des répétitions non maîtrisées de pics de logs peuvent amener à des instabilités. De plus des pics ont peut-être comme source des tiers malveillants visant vos équipements.

Vous allez découvrir comment obtenir un tableau de bord de monitoring de ces informations mais également comment l’utiliser. Par la suite, vous serez libre de le personnaliser pour qu’il convienne à votre environnement et toutes les spécificités qu’il peut avoir.

Vous pouvez dès à présent retrouver ce tableau de bord sur mon Github : https://raw.githubusercontent.com/staze0/QRadar/main/Pulse%20Dashboard/EPS%20Monitoring.json. N’hésitez pas à y laisser une ⭐.

Remarque : Il est nécessaire d’avoir l’application Pulse pour faire fonctionner le tableau de bord.

...

Cover Image

HowTo #2 : Collecter des webhooks dans QRadar (FR)

- Reading time: 8 minutes

Bonjour à tous, nous allons voir dans cet article comment collecter dans QRadar des éléments qui sont envoyés par des applications externes via le protocole HTTP. En effet, beaucoup d’applications proposent cette option et il est souvent intéressant d’un point de vue sécurité et supervision de collecter ces informations.

Dans cet article nous allons utiliser l’application BookStack comme application web, vous pouvez utiliser ce que vous souhaitez, même créer une application de zéro 😅

...

Cover Image

HowTo #1 : Manipulation des fichiers de logs en Windows (FR)

- Reading time: 9 minutes

Bonjour à tous, nous voici dans le premier article de présentation de petits tips pour gagner du temps au quotidien sur des sujets divers et variés de la cybersécurité. Nous allons voir ici comment manipuler facilement les logs Windows via le Powershell.

En effet, si vous avez déjà visionné ces logs via l’observateur d’évènements Windows, vous vous êtes rendus compte que ce dernier avait quelques limites quand il faisait face à de gros fichiers ou quand vous souhaitiez faire des filtres plus complexes.

C’est donc pour cela que j’ai décidé de passer en Powershell qui embarque nativement des cmdlet faites pour la compréhension de ces fichiers. De plus, le point positif d’utiliser le Powershell est que l’automatisation peut être encore plus facile.

...