Part2: Containment¶
1. Intro¶
On enchaîne : après avoir repéré l'attaque, il faut immédiatement limiter son impact.
Le but : mettre en place une conf/un setup qui isole les machines infectées, afin d'éviter que l'attaque impacte le reste du parc.
2. Outils recommandés¶
TODO
3. Rendu attendu¶
➜ Proposer un setup qui permettrait d'isoler les machines infectées
- le setup doit empêcher toute propagation de l'attaque vers le reste de l'infra
- le setup doit permettre de continuer à investiguer une fois le confinement effectué (la partie suivante du TP pour nous)
- pensez système, pensez réseau, pensez large :)
Note
Il faut être rapide et efficace, voire n'hésitez pas à être bourrin.
Là on travaille dans l'urgence pour empêcher que le parc entier se fasse casser les genoux.
🌞 Procédure (technique, concise, précise) pour le confinement
- donnez la liste exhaustive des étapes pour mettre en place le confinement
- no blabla no bullshit, j'veux des commandes/des actions concrètes/des requêtes API : j'veux une procédure pas un tas de blabla
- proposition d'un environnement pour continuer à étudier l'attaque
➜ Si on suit votre procédure, on doit aboutir à la situation suivante :
- attaque totalement confinée
- probablement une dégradation de service (les services de la machine infectée ne sont plus joignables)
- on peut continuer à étudier l'environnement infecté, sans impacter le reste du parc