Cover Image

HowTo #1 : Manipulation des fichiers de logs en Windows (FR)

- Reading time: 9 minutes - | FR | Tips | Windows |

Bonjour à tous, nous voici dans le premier article de présentation de petits tips pour gagner du temps au quotidien sur des sujets divers et variés de la cybersécurité. Nous allons voir ici comment manipuler facilement les logs Windows via le Powershell.

En effet, si vous avez déjà visionné ces logs via l’observateur d’évènements Windows, vous vous êtes rendus compte que ce dernier avait quelques limites quand il faisait face à de gros fichiers ou quand vous souhaitiez faire des filtres plus complexes.

C’est donc pour cela que j’ai décidé de passer en Powershell qui embarque nativement des cmdlet faites pour la compréhension de ces fichiers. De plus, le point positif d’utiliser le Powershell est que l’automatisation peut être encore plus facile.

...

Cover Image

Le dev dans QRadar #1 – Ma première application

- Reading time: 15 minutes - | FR | Series | QRadar |

Nous allons voir aujourd’hui comment créer votre première application dans QRadar. Nous avions vu précédemment comment installer tous les outils nécessaires pour ce développement, passons maintenant au vif du sujet.

Dans cet article, vous allez voir comment développer les premières briques d’une application dans QRadar, n’étant en aucun cas un développeur aguerri, le code sera sommaire et assez basique, l’idée étant de vous présenter les bases ainsi que comment débuguer si cela ne fonctionne pas.

Pour ce premier exemple nous allons faire une application qui va nous apporter des informations supplémentaires au quotidien dans QRadar. Plus particulièrement, nous allons afficher une infobulle lorsqu’un utilisateur va survoler la valeur d’un port sur des logs. En effet, il n’est pas naturel de connaître la fonctionnalité de tous les ports en informatique. Qui plus est, nous allons être en mesure d’afficher des données personnalisées pour des ports métiers qui sont spécifiques à un contexte client par exemple.

...

Cover Image

Tips : Utilisation du Log Activity dans QRadar

- Reading time: 11 minutes - | FR | Tips | QRadar |

Bonjour à tous, voici un petit tips sur l’utilisation du Log Activity dans QRadar. Cet outil de QRadar est le point central pour tout ce qui est analyse des évènements et compréhension d’une alerte.

Si vous êtes analyste ou encore intéressé par comment gagner du temps dans la recherche de vos informations, vous trouverez dans cet article quelques informations qui pourront vous aider.

...

Cover Image

Tips : Création de rapports dans QRadar

- Reading time: 10 minutes - | FR | Tips | QRadar |

Bonjour à tous, voici un petit tips sur l’utilisation des rapports dans QRadar. Comme son nom l’indique, cette option permet de générer des rapports de quasiment tout ce que vous trouverez dans l’interface de QRadar. Ici nous allons voir une comment visualiser des évènements particuliers via un rapport mais vous n’êtes pas limités par ce que vous pouvez y mettre.

Les rapports possèdent plusieurs atouts qui me font vous présenter ce petit tips :

  • C’est un outil nativement intégré dans QRadar, ouf ! contrairement à certains outils intéressants qui nécessitent eux l’installation d’extensions (Pulse, Log Source Management…)
  • Les rapports, contrairement aux offenses, permettent d’avoir une vue d’ensemble et d’avoir un résumé d’actions qui ne sont pas forcément malicieuses. Typiquement si vous avez votre système d’information personnel mais que nous avez pas un SOC pour superviser tout cela, vous risquerez de ne pas avoir le temps de contrôler toutes les alarmes. C’est donc pour cela qu’un rapport est un bon compromis, il permet de voir si des actions étranges se déroulent dans un SI sans que vous deveniez un analyste SOC.

...

Cover Image

Tips : Supervision du bastion Teleport

- Reading time: 8 minutes - | FR | Tips | QRadar | Teleport |

Nous allons voir aujourd’hui comment mettre en place la supervision de Teleport. Teleport est un bastion disponible en OpenSource qui permet de faire du contrôle d’accès de vos ressources.

Afin de pouvoir effectuer les différentes actions de cet article et donc les tester, il va vous falloir les prérequis suivants :

  • un serveur avec l’application Teleport installée et fonctionnelle ;
  • Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici) ;
  • Le flux TCP vers le port 514 ouvert (ou un autre port) depuis le serveur où il y a l’application Teleport vers le serveur QRadar.

...

Cover Image

Tips : Supervision d’un serveur OpenSSH Windows

- Reading time: 17 minutes - | FR | Tips | QRadar | Windows |

Bonjour à tous, je vous présente dans cet article comment mettre en place un serveur SSH sur votre machine Windows mais également comment le superviser à l’aide d’un agent WinCollect et de l’outil d’IBM QRadar.

Pour pouvoir effectuer les différentes actions de cet article, il va vous falloir les prérequis suivants pour pouvoir tester :

  • Une machine Windows avec un agent WinCollect en mode “managed“
  • Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici)

...