No Limit Secu – Les dix commandements du SIEM

No Limit Sécu

Bonjour à tous, alors pour commencer, je suis désolé je n’en ai toujours pas terminé avec mon gros projet. Ça pique, c’est long et ça me consomme un temps de dingue. En conséquence, le rythme normal des publications sur le site ne reprendra surement pas avant 2022. Pour autant, je ne chôme pas et pour vous faire patienter on vous a concocté avec l’équipe de NoLimitSécu un petit épisode sur les dix commandements du SIEM cet été.

Comme la dernière fois, c’est une super expérience avec Johanne, Hervé, Nicolas et Marc Frédéric et vous pouvez nous écouter ici :

https://www.nolimitsecu.fr/les-dix-commandements-du-siem/
(ou sur toutes les bonnes plateforme de musique comme Spotify, deezer, etc.)

Voilà donc, écoutez-nous ? j’espère que cet épisode sur les dix commandements du SIEM vous intéressera, il y en a certains d’entre vous que je n’ai pas revu depuis un certain temps, ça vous rappellera ma douce voix suave dans vos cages à miel :-p ? A minima j’espère que ça remettra quelques idées en place à certains, parce que la plupart des exemples dans ce n°334 du podcast ressemblent fortement à des personnages réels et ce n’est pas une coïncidence ! ^^

Et … Lire la suite

Transformer un tableau avec plusieurs colonnes dates en évènements

Salut à tous, aujourd’hui je voulais m’arrêter sur un cas d’utilisation « à la con 🙂 » de Splunk et plus exactement comment transformer un tableau avec plusieurs colonnes dates en évènements. Niveau contexte, on m’a demandé de suivre les status d’offenses (incident) d’un QRadar dans un Splunk (oui, je sais, ça à l’air con dit comme ça, juste… enfin bref cherchez pas…). Mais comme ce serait trop simple d’avoir des évènements « carrés » qui vous indique ouverture, fermeture, activité, etc. je n’avais à ma disposition que l’option des calls API Rest. Et comme on a beaucoup d’offenses, je ne peux pas non plus faire un fulldump et construire un lookup avec toutes mes offenses. Du coup dernière option jouable faire des exports réguliers des offenses ouvertes ou fermées. En gros, j’exporte mes données avec ces quelques lignes de PowerShell qui interrogent l’API QRadar au début de chaque heure :

function ConvertTo-UnixDateMs ($PSDate) {
        $epoch = [timezone]::CurrentTimeZone.ToLocalTime([datetime]'1/1/1970')
        return (New-TimeSpan -Start $epoch -End $PSDate).TotalSeconds * 1000
}

$start = ConvertTo-UnixDateMs -PSDate ([DateTime]::Today.AddHours($now.Hour - 1))
$end = $start + (2 * 3600 * 1000)

((Invoke-RestMethod ("$urlQradarapi"+"/siem/offenses%3Ffilter%3Dclose_time%20%3E%20"+"$start"+"%20and%20close_time%20%3C%20"+"$end"+"%20or%20start_time%20%3E%20"+"$start"+"%20and%20start_time%20%3C%20"+"$end") -Method GET -Headers @{Version=$apiversion;Accept='application/json';SEC=$apikey}) ConvertTo-Json -Depth 100  | Out-File ("$outoffensesfile") -Encoding utf8)

Et le … Lire la suite

Docker et Portainer part 8 – Déployer un jitsi meet avec docker

jitsi meet avec docker

Salut à tous, aujourd’hui on continue sur la série des trucs utile à déployer avec docker et portainer (et qui se font bien). Aujourd’hui on va faire un truc qui je pense va voir servir fort beaucoup en 2021 (même si je préférerai le contraire) et on va voir comment déployer un serveur jitsi meet avec docker.

Rappel des articles de la série « Docker et Portainer » :

JITSI ?

Jitsi est une vieille application « SIP … Lire la suite

API REST pour Keepass en Powershell : Article MISC 108

API REST pour Keepass en Powershell

Hello à tous, l’année 2020 a été généreuse en articles MISC pour moi, et comme pour mes précédentes publications chez eux, j’ai repris la licence de « type B », Du coup aujourd’hui, je vous partage l’article de mars dernier sur le thème du développement d’une API REST pour Keepass en Powershell.

J’en profite pour préciser que l’article en question fera office de la fameuse documentation Kerberos que je vous promet maintenant depuis plusieurs années… voilà c’est fait comme ça, ce n’est plus dans ma todo 🙂 !

Voilà c’est tout : bonne lecture à tous et @+


KeeRest : mettez du DevOps dans votre KeePass

MISC 108 | mars 2020 | Étienne LADENT & Arnaud PETITJEAN

Nous avions vu dans MISC n°103 comment déployer une base KeePass en mode SaaS ciblant les particuliers ou de petits périmètres professionnels. Dans un autre monde, les pratiques DevOps se démocratisent et demandent d’augmenter l’agilité des développements tout en réduisant les délais de mise en production. Cet article est le fruit d’une collaboration entre un DevOps et un ingénieur SSI pour voir de quelle manière il est possible de tirer profit de KeePass dans ces environnements.

La gestion des mots de passe en entreprise … Lire la suite