Envoyer un CSV en HTTP en PowerShell

Envoyer un CSV en HTTP en PowerShell

Salut à tous, aujourd’hui j’ai eu un besoin d’envoyer un CSV en HTTP en PowerShell pour automatiser un envoi de fichier de résultat de script entre 2 serveurs. Ma grosse contrainte était que je pouvais pas faire du mode Push (cf. transfert SCP sans mot de passe) comme je partais d’une zone de sécurité moindre que celle de destination. Et comme, le fichier source venais d’un Windows, je ne voulais pas mettre en place un serveur Web IIS sur le serveur source pour un pauvre fichier CSV à transférer 2 fois par jour…

Du coup j’ai bricolé quelques lignes à la fin de mon script PowerShell pour exposer le fichier en HTTP et permettre au serveur destination de venir les « Puller » pour respecter le sens d’établissement du flux.

Et sans transition le script pour envoyer un CSV en HTTP en PowerShell :

Function New-SimpleHTTPListener {
  Param (         
    [Parameter()] [Int] $Port = 7443
  )
  Begin{
    $listener = New-Object System.Net.HttpListener
    $prefix = "http://localhost:$Port/"
    $listener.Prefixes.Add($prefix)
  }

  Process{

    try{
      $listener.Start()
      Write-Host "Listening on $Port ..."
      $pathwd = Get-Location
      while ($listener.IsListening) {
        $context = $listener.GetContext()

        if ($context.Request.HttpMethod -eq 'GET' -and $context.Request.RawUrl -eq '/quit')
        {
            $listener.Close()
            break;
        }    

        $HTTPresponse = $context.Response
        $HTTPresponse.StatusCode = "200"
        $HTTPResponse.Headers.Add("Content-Type","text/csv") 

        $RequestUrl = $context.Request.Url.OriginalString
        $data = [System.Text.UTF8Encoding]::UTF8.GetBytes([System.IO.File]::ReadAllText("$pathwd"  + '\' + ($RequestUrl.Split('/')[-1])))

        $HTTPresponse.ContentLength64 = $data.Length

        $output = $HTTPresponse.OutputStream

        $output.Write($data,0,$data.Length)

        $output.Close() 
      }
    }catch{
       Write-Warning "Error with Server : $_" 
    }Finally{
      Write-Warning "terminating Server : $_" 
      $listener.Stop()
    }
  }

  End{
    
  }
}

New-SimpleHTTPListener

Alors clairement c’est du bon gros « quick and dirty » :… Lire la suite

DFIR ORC, SEP et PowerShell – MISC Hors Série n°23 !

DFIR ORC, SEP et PowerShell

Bonjour à tous, l’article de cette semaine est dans votre MISC mag Hors série (n°23) de vendredi dernier et porte sur la mise en œuvre de DFIR-ORC pour le Live Forensics au travers d’un Framework PowerShell et de l’antivirus SEP, via sa fonction de contrôle d’intégrité (qui permet d’exécuter du code). Bref, c’est de la bonne lecture comme d’habitude !

Comme d’habitude aussi je vous divulgâche le chapeau :

Antivirus, PowerShell et ORC pour le Live-Forensics

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise en œuvre peut s’avérer complexe sur des systèmes d’information modernes et des zones géographiques étendues. Cet article aborde les capacités de déploiement d’outils de live-forensics au travers des antivirus pour permettre la mise en œuvre des outils de référence, comme DFIR-ORC, lorsque c’est nécessaire.

Et pour rendre à mes co-auteurs ce qui leur appartient, je vous rappel que cette article a été rédiger en collaboration avec @neticien1 et @jukebox_re dont je vous invite à suivre les gazouillis. Et pour info, le système à base … Lire la suite

Les métiers de la cyber sécurité selon l’ANSSI

Salut à tous, aujourd’hui je vous partage rapidement un document de l’ANSSI qui décrit les métiers de la cyber sécurité et qui sera très utile aux divers décideurs lorsqu’ils souhaitent recruter des profils « cyber » ou simplement aux étudiants qui souhaitent se renseigner sur ce milieu. Le document en question est disponible ici sur le site de l’ANSSI.

Sans transition vous trouverez les « métiers » de la liste ci-dessous.

Métiers de la cyber sécurité
Intitulé du poste
Directeur Cybersécurité
Responsable de la Sécurité des Systèmes d’Information (RSSI)
Déclinaison pour le Responsable de sécurité des SI au sein d’une PME / TPE
Coordinateur sécurité
Directeur de programme de sécurité
Responsable de projet de sécurité
Chef sécurité de projet
Architecte sécurité
Spécialiste sécurité d’un domaine technique
Spécialiste en développement sécurisé
Cryptologue
Administrateur de solutions de sécurité
Auditeur de sécurité organisationnelle
Auditeur de sécurité technique
Responsable du SOC
Opérateur analyste SOC
Responsable du CSIRT
Analyste réponse aux incidents de sécurité
Gestionnaire de crise de cybersécurité
Analyste de la menace cybersécurité
Consultant en cybersécurité
Formateur en cybersécurité
Évaluateur de la sécurité des technologies de l’information
Développeur de solutions de sécurité
Intégrateur de solutions de sécurité
Chercheur en sécurité des systèmes d’information

Ce … Lire la suite

Rsyslog en duplication de log (sur Redhat)

Rsyslog en duplication de log

Bonjour à tous, aujourd’hui je vais vous montrer comment configurer un serveur Rsyslog en duplication de log, c’est une configuration qui est très très utile quand on bosse sur un SIEM. En effet, parfois les solutions (au hasard Broadcom SEP…) qui émettent du syslog ne permettent pas toujours d’envoyer les logs à plusieurs destinations. C’est gênant car en cas d’étude ou tout simplement changement de SIEM, on ne peut pas dupliquer les logs vers le nouveau système. Si c’est mal géré cela peut obliger à des bascules en mode big bang dans ce genre de situation, ce qui n’est pas pas idéal pour des reprises en douceur.

Mais ce problème peut être simplement adressé avec un petit serveur rsyslog devant le SIEM. En effet ce service possède nativement la fonctionnalité de reforwardé des logs. Du coup, un petit passage dans la doc de rsyslog et un nouveau serveur plus tard et pouf on a la procédure suivante :

Installer et configurer Rsyslog en duplication de log

yum install rsyslog

Puis configurer en éditant le fichier /etc/rsyslog.conf. Notez que vous avez un générateur de configuration automatique fourni directement sur le site du projet. Il faut admettre que la syntaxe n’est … Lire la suite