Calculer la distance entre 2 points GPS avec Splunk

Splunk Logo

Salut à tous, ça fait une paye que je vous ai pas fait un peu de Splunk, non ? et récemment au taf j’ai trouvé 5 min pour réimplémenter une requête rigolote pour calculer la distance entre 2 points GPS avec Splunk.

Pour vous faire la genèse du truc, on supervise beaucoup nos connexions VPN depuis le confinement du printemps bizarrement :-). D’ailleurs dans mon article MISC de septembre, je vous ai mis une requête pour surveiller les doubles connexions simultanées d’un(des) utilisateur(s) , qui est également super pratique pour limiter les abus autour des connexions à distances dans un cadre de surcharge de vos passerelles.

Les logs VPN font vraiment parti des logs intéressants car ils ramènent l’analyse au « monde réel ». En effet, les VPNs sont souvent utilisés dans des situations de nomadisme ou de télétravail et combiné avec les informations de géolocalisation : ça fait des chocopics !

Du coup, je vous donne la requête « as-it » :

index=$vpn "Session started" OR "Session ended" | sort 0 user, _time  
| streamstats window=1 current=f values(_time) as last_time values(src_ip) as last_src_ip by user 
| where last_src_ip != src_ip AND _time - last_time < 8*60*60 
| 
Lire la suite

Tweeter en PowerShell – PSTwitterAPI

Tweeter en PowerShell

Salut à tous, on nous a demandé d’organiser un petit Capture The Flag (CTF) en interne au boulot. Du coup, il a fallu faire quelques challenges et je me suis dit que j’allais refaire un challenge que j’avais bien aimé du SANS celui à base de tweet offusqués. Du coup j’ai voulu refaire le mien, la dernière fois, j’avais fait le crawler en Python, ce coup ci j’ai donc voulu Tweeter en PowerShell (au cas où vous n’auriez toujours pas compris que je kif ce langage…^^).

Alors j’aurais pu jouer à le faire à la main avec Invoke-RestMethod, mais bon une recherche Google Plus tard et je suis tombé sur : PSTwitterAPI qui fait très très bien le boulot. En fait le plus long ça a été de créer un compte Twitter, de générer les accès API en écriture et de préparer le fichier avec le flag caché dedans…^^

Mais du coup, Un fois que vous avez fait le fichier de résultat, le script pour le pusher sur le site, il tient en quelques lignes :

Import-Module PSTwitterAPI
$OAuthSettings = @{
  ApiKey = "xxx"
  ApiSecret = "yyy"  
  AccessToken = "123"
  AccessTokenSecret = "456"
}
Set-TwitterOAuthSettings @OAuthSettings

$a = Get-Content 
Lire la suite

Envoyer des syslog en Powershell

Envoyer des syslog en Powershell

Salut à tous, aujourd’hui je vais m’arrêter sur un bout de script dont j’ai eu besoin il y a quelques mois de cela pour envoyer des syslog en Powershell et que chaque machines où je faisait exécuter un script envoie directement ses résultats à à un serveur syslog. Et puis tant qu’on y était avec Grégoire, on a fait le récepteur syslog au passage histoire de pouvoir tester ça en local sans se faire trop mal à monter un vrai serveur syslog.

Syslog ?

Pour rappel Syslog est un protocole réseau qui permet d’envoyer des logs. Bien connu et largement utilisé, il permet de déporter les logs entre l’équipement et la machine qui les stocke, voire les traite (qui a dit Splunk?). Il y a 2 RFC qui cadrent la norme la RFC 3164 et la RFC 5424. En grande majorité, syslog passe sur UDP, le problème c’est que ça ne garantie pas la bonne arrivée de 100% des logs sur vos collecteurs syslog. Mais on commence à trouver de plus en plus de TCP dans l’utilisation de Syslog.

Chiffrement ? Signature ?

Une petite digression pour votre culture, même si en TCP on garantie la bonne réception … Lire la suite

Exemple de schéma d’infrastructure : nouveau serveur !

Exemple de schéma d'infrastructure

Salut à tous, geekeries.org et systemsec.fr grossissent doucement, et j’ai finalement été obligé d’upgrader le serveur ! Je me suis dit que c’était une belle occasion de vous donner un exemple de schéma d’infrastructure (à mon goût) qui fonctionne bien de mon expérience.

Long story short : Le précédent serveur était au taquet sur la RAM et le CPU en semaine. Ça explique les coupures de connexions au(x) site(s) que vous avez pu rencontrer depuis quelques temps (désolé pour le désagrément). Du coup, j’ai fais ma migration ce weekend (qui a débordé sur le début de semaine)…d’où les indisponibilité du site que vous avez pu avoir. C’était pour la bonne cause !

Il faut dire qu’il commence à y avoir du monde qui passe sur le serveur. Vous ne voyez que la partie émergée de l’iceberg avec geekeries.org et systemsec. Mais en fait il y a quand même du monde qui tourne derrière : FTP, outil de phishing , Nextcloud, Guacamole, Watchtower, Splunk, Torrents, Fail2ban, Backup, Redis, Docker, Firewall, IPS, etc.

D’ailleurs pour la partie Docker qui est très présente dans le schéma, je vous recommande ma série d’article sur le sujet :

Lire la suite