Skip to content

TP1: Do u like logs

1. Contexte

J'ai décidé (sans surprises ?) de no blabla no bullshit pendant ce cours.

Je vous propose donc un projet/tp consistant en une mise en situation de gestion d'incidents.

Vous avez 4 demie-journées (sur 3 jours) pour traiter cet incident.

2. Rendu

Les modalités de rendu :

  • le rendu attendu est un rapport de gestion d'incident
  • le contenu du rapport sera détaillé au fil des parties
  • en solo ou en binôme (pas +)

Comme d'hab, un lien git est attendu qui contient tout le nécessaire.
Modalités d'envoi du dépôt git .

JE REPETE : NO BLABLA NI BULLSHIT
Je ne veux pas voir de blabla inutile dans le rendu, que des procédures précises et exactes.

Example

Tu veux préconiser l'extinction d'une VM dans un hyperviseur ESXi ?
Tu dois donner la marche à suivre précise et exacte pour faire ça avec ESXi spécifiquement.
Ha mais tu connais pas ESXi ?
Apprend.

3. Conception de l'exercice

➜ Pour concevoir l'exercice, j'ai :

  • monté une infra
  • mené une attaque simpliste
  • quelques steps de post-exploit
  • récupéré tous les logs

➜ J'ai vraiment monté l'infra pour vous préparer le TP.

Vous avez le droit de me demander des infos additionnelles ou des éléments additionels (genre des fichiers) pour mener votre tâche à bien.

Ca va éplucher du log les zenfants.

➜ Le shéma d'infra :

TODO

4. Votre rôle

L'exercice va se décomposer en plusieurs phases :

  • analyse de logs

    • donc un peu d'analyse forensique pour commencer !
    • t'as des logs système, des logs réseau, tout un tas de bail
    • repère l'attaque en cours, les services ciblés, le mode opératoire, etc

  • mise en place du confinement

    • une fois l'attaque mise en évidence
    • propose une méthode pour confiner l'attaque

  • analyse approfondie de l'attaque

    • une fois confinée, on approfondit l'étude de l'attaque
    • liste exhaustive des actifs impliqués/compromis
    • reconstituion d'une timeline de l'attaque

  • patch et remise en service

    • une fois confinée, on étudie une solution
    • quelle conf ajouter ? quel service déployer ? quelle ligne de code modifier ?
    • la victime infectée (serveur ? client ? autres ?) doit être assainie et déconfinée (remise en service)

  • préconisations d'atténuation/suppression du risque

    • une fois la remise en service effectuée, comment empêcher que ça se reproduise ?
    • préconisations concrètes

5. Feu patate

Go sur la première partie : Forensic Analysis