Cover Image

HowTo #1 : Manipulation of Windows log files (EN)

- Reading time: 8 minutes

Hello everyone, here we are, the first article in a series where I will present you small tips to save time everyday on cybersecurity subjects. Today, we will see how to easily manipulate Windows logs with Powershell.

If you have already used the event viewer on Windows, you may have noticed several limitations. First, event viewer can be very slow when you try opening big files with a lot of events. Second, you cannot properly do advanced filtering such as regex.

So, that’s why I have decided to try out Powershell, which includes cmdlet specially for Windows logs file. Furthermore, one of the positive points of using Powershell is automation and scripting.

...

Cover Image

HowTo #1 : Manipulation des fichiers de logs en Windows (FR)

- Reading time: 9 minutes

Bonjour à tous, nous voici dans le premier article de présentation de petits tips pour gagner du temps au quotidien sur des sujets divers et variés de la cybersécurité. Nous allons voir ici comment manipuler facilement les logs Windows via le Powershell.

En effet, si vous avez déjà visionné ces logs via l’observateur d’évènements Windows, vous vous êtes rendus compte que ce dernier avait quelques limites quand il faisait face à de gros fichiers ou quand vous souhaitiez faire des filtres plus complexes.

C’est donc pour cela que j’ai décidé de passer en Powershell qui embarque nativement des cmdlet faites pour la compréhension de ces fichiers. De plus, le point positif d’utiliser le Powershell est que l’automatisation peut être encore plus facile.

...

Cover Image

Tips : Supervision d’un serveur OpenSSH Windows

- Reading time: 17 minutes

Bonjour à tous, je vous présente dans cet article comment mettre en place un serveur SSH sur votre machine Windows mais également comment le superviser à l’aide d’un agent WinCollect et de l’outil d’IBM QRadar.

Pour pouvoir effectuer les différentes actions de cet article, il va vous falloir les prérequis suivants pour pouvoir tester :

  • Une machine Windows avec un agent WinCollect en mode “managed“
  • Un collecteur QRadar (typiquement le All-in-One QRadar CE donc je vous ai présenté l’installation ici)

...

Cover Image

Tips : Supervision du firewall Windows

- Reading time: 13 minutes

Bonjour à tous, nous allons voir dans cet article comment collecter les événements du firewall Windows sur QRadar. Ces événements vont nous permettre d’avoir une meilleure visualisation de la partie réseau sur un poste de travail ou un serveur, notamment quand les équipements réseaux ne sont pas accessibles à la collecte ou qu’il n’y en a pas.

Cette mise en place va se faire en 2 parties, dans un premier temps nous allons activer le logging sur la machine Windows, ensuite nous irons configurer la partie QRadar pour que tout fonctionne et soit compris.

Vous verrez dans la partie Mise en place côté QRadar que nous utilisons un WinCollect pour récupérer les événements de l’équipement Windows. Je ne vais pas revenir sur l’installation de ce dernier, pour cela je vous renvoie vers mon article sur les collectes de base dans QRadar : Comment surveiller vos équipements.

...

Cover Image

La magie du XPath

- Reading time: 16 minutes

Dans cet article, nous allons voir comment il est possible de d’envoyer vers QRadar (quasiment) tous les logs qu’une machine Windows récupère. Vous avez vu précédemment comment mettre en place la collecte d’une machine Windows via un agent Wincollect, mais nous n’avions pas creusé ce qui est récupéré par cet agent.

Pour mieux comprendre la suite, il faut d’abord savoir que :

  • Microsoft divise les logs en 6 catégories + un dossier contenant les logs des applications et services de la machine
  • Les 6 catégories sont requêtables par l’agent Wincollect

...

Cover Image

Comment surveiller vos équipements #2 – Premières collectes

- Reading time: 30 minutes

Ça y est votre QRadar est fonctionnel, nous allons maintenant mettre en place la surveillance sur des équipements classique que sont :

  • Une machine Windows
  • Une machine Linux
  • Un serveur Apache2 (très pratique quand on a un petit blog 😏)

Pour cela vous pouvez utiliser des machines virtuelles ou des machines existantes parmi vos équipements personnels.

Dans mon cas je vais mettre en place la surveillance sur ma machine Windows personnel et mon VPS Linux hébergé dans le cloud. Et oui ! vous pouvez surveiller vos équipements en dehors de chez vous, pour cela il faudra juste vous armez de votre "Le Réseau pour les Nuls" et faire quelques configurations sur votre box internet.

...