La Forensics sous Windows
Ce cours couvre les principaux domaines de la forensique Windows appliquée au contexte SOC et incident response : le registre, les systèmes de fichiers, l’acquisition de données, les artefacts d’exécution et les périphériques externes. Chaque section vous donnera les emplacements clés, les outils à utiliser et la méthode d’analyse.
Le démarrage sous windows
Dans ce cours nous allons aborder des principes fondamentaux d’un système d’exploitation Windows qui nous permettrons d’avoir une base correcte si nous voulons faire de l’investigation numérique.Lorsqu’un ordinateur démarre, plusieurs étapes essentielles sont effectuées afin d’assurer un démarrage optimal du système. Avant même le lancement du système d’exploitation (OS), une vérification du matériel est réalisée. Cette étape, appelée POST (Power On Self Test), permet de s’assurer que les composants matériels fondamentaux (mémoire, processeur, périphériques essentiels) fonctionnent correctement. Une fois le POST validé, le processus de démarrage du système d’exploitation peut commencer. Etape 1 : Le BIOS ET UEFI– Le BIOS suit une séquence de démarrage (boot sequence), stockée dans la mémoire CMOS. Il recherche ensuite le MBR (Master Boot Record) du périphérique de démarrage, qui a pour rôle de localiser la partition active et de charger son secteur de boot en mémoire. Ce processus est appelé Bootstrap. UEFI / GPT…
SOC
Dans cet article, nous allons explorer ce qu’est un SOC (Security Operations Center) et comprendre son rôle essentiel dans le domaine de la cybersécurité. Nous verrons ensuite comment mettre en place un SOC en utilisant ElasticStack et Kibana, et nous illustrerons cela avec des exemples pratiques, comme la création de requêtes KQL, la configuration de visualisations, et la mise en place d’un premier tableau de bord. L’objectif de cet article est de fournir une introduction accessible au monde du SOC et de guider les débutants à travers les étapes clés de sa configuration. Voici les points que nous aborderons : Pour commencer c’est quoi un SOC ? Un SOC, ou Security Operations Center, est une équipe d’experts en cybersécurité dédiée à : Le SOC ne se limite pas à une équipe humaine : c’est aussi un ensemble de technologies et d’équipements conçus pour centraliser, traiter et afficher les incidents de…
Protocoles d’authentification Windows
Présentation Dans les infrastructures Microsoft, nous avons deux protocoles pour l’authentification : Le protocole NTLM est utilisé pour des raisons de compatibilité, mais il est vulnérable à plusieurs attaques. Le protocole Kerberos est plus robuste en matière de sécurité, mais pour des raisons de compatibilité, de nombreuses organisations conservent le protocole NTLM sans même le savoir. Dans un domaine Active Directory, où des machines et des utilisateurs cherchent à accéder à une ressource, la méthode d’authentification sera définie en fonction de la résolution du nom de la ressource cible : NTLM Le protocole est mis à disposition par Microsoft et permet de confirmer l’identité des utilisateurs qui souhaitent accéder à des ressources. L’authentification avec ce protocole se fait via une connexion directe entre un client et un serveur cible, sous forme de challenge/réponse. L’authentification NTLM est prise en charge par de nombreux protocoles : Fonctionnement de NTLM Pour comprendre le…