Part3: Further analysis¶
1. Intro¶
On vient de confiner en urgence une partie du parc, mais on est loin d'avoir fini le job.
On va continuer à étudier l'attaque, pour plusieurs raisons, on veut :
- comprendre l'attaque dans sa globalité (notamment pour être sûrs que notre confinement est complet)
- reconstituer la timeline de l'attaque : les étapes, timestampées, qu'a suivi l'attaquant
Le but : avoir une vision claire et globale sur l'attaque qui a été menée, efin depouvoir agir en conséquences.
2. Outils recommandés¶
TODO
3. Rendu attendu¶
➜ On se repenche sur les logs mais cette fois, on a le temps
➜ Reconstituez l'attaque dans son ensemble
- première fois qu'on a vu le hacker dans l'infra
- toutes les actions du hacker dans l'infra
- vecteur d'infection
- post-exploitation
🌞 Timeline de l'attaque
- reconstituez une timeline de l'attaque (graphique ou textuelle)
- on doit voir toutes les actions menant à l'attaque finale
Note
Cette idée de timeline est très classique dans la gestion d'incidents de cybersécu.
Cela permet de faire comprendre rapidement à d'autres personnes le modèle d'attaque qui a été mené.
On va aussi potentiellement archiver ce document pour garder une trace de l'attaque, avec les logs pertinents associés.