Accueil Archive pour Sécurité Page 2

Sécurité

Build DFIR-ORC

Posté le de 7 commentaires ↓

Bonjour à tous, je vous fait un tuto pour Faire un build DFIR-ORC. En effet, on m’a dit dans l’équipe que c’était « compliqué » et que ça allait « prendre des jours » à faire.

Du coup, j’étais pas trop d’accord :-), et je me suis dit que c’était l’occasion de vous documenter le truc tout en donnant un outil de plus à ma team. Au final, j’avoue que la doc de l’ANSSI est quand même pas folle, mais on est loin du compliqué pour avoir un premier binaire utilisable en quelques heure.

Étape 1 : Build DFIR-ORC

Bon alors commencez par télécharger VSStudio 16-2019 (ça ne fonctionne pas pour l’instant avec la version 2022 :-), oui j’ai testé, contrairement à ce laisse penser la doc). Bonne nouvelle, pour l’instant cette version est toujours téléchargeable encore par là :

https://learn.microsoft.com/en-us/visualstudio/releases/2019/release-notes

Installez là en mode « par Défaut » et importer le fichier .vsconfig donné dans la doc.

Build DFIR-ORC

Et go cliquez en bas à droite sur modifier.

Build DFIR-ORC

Laisser VS code faire son installation en cliquant sur modify (a peine 11Go à télécharger, une paille, j’aurais aimé que MS maintienne sa VM Developper en version 2019 :’-) plutôt que de … Lire la suite

Astar.org – De la sécurité contractuelle

Posté le de Aucun commentaire ↓

Bonjour à tous, pas d’article sur le blog cette semaine mais je vous partage un article du blog Astar.org – De la sécurité contractuelle – et pour lequel j’ai participé à la relecture demandé par David. L’article parle de la sécurité « contractuelle » et notamment de comment l’aborder dans les petites structures. En relisant, j’ai trouvé que c’était un concentré de bonnes idées et un très bon résumé.

Si vous travaillez dans de très grande structures, vous avez déjà des services juridiques qui couvre tout ça et la lecture ne pourra que vous culturer un peu. En revanche si vous travaillez dans des PME (ou juste au dessus) je pense que vous aurez plein de bonne choses à piquer dedans.

Bref, je vous met pas plus l’eau à la bouche. C’est par ici que ca se passe :

https://www.astar.org/blog/de-la-securite-contractuelle

Bonne lecture !… Lire la suite

Pandora analysis

Posté le de Aucun commentaire ↓
Pandora

Hello tout le monde, aujourd’hui je vous propose de se pencher sur Pandora. L’outil d’analyse évoqué dans le NoLimitSecu #369. Pandora analysis est un outils d’analyse statique (c’est important) de fichier pour la cybersécurité. Le partie pris étant qu’il soit utilisable par le fameux « utilisateur lambda » (aka Mme Michu) et fournissent donc des réponses simple et rapidement.

Pandora se présente également sous la forme d’un cadriciel (oui, un Framework) et à donc vocation à permettre rapidement d’intégrer d’autre outils tiers dans les résultats. Les modules suivant sont buit-in dans la solution : hashlookup, hybridanalysis, irma, joesandbox, malwarebazaar, msodde, mwdb, ole, virustotal, xmldeobfuscator, yara.

Autant vous dire que ca fait du monde et que out-of-the-box vous avez déjà un bien bel outil d’analyse !

Installation de Pandora

Alors comme de plus ou plus souvent, un déploiement docker est disponible. Simplement les image ne sont pas proposé, à l’heure ou j’écrit ces lignes, sur le docker-hub. Ce qui implique de passer par un build local à votre serveur.

1. Cloner le repo github

cd /opt
git clone https://github.com/pandora-analysis/pandora.git

2. Editer votre docker compose ajuster à vos besoins. De … Lire la suite

Connecteur OpenCTI – AbuseIPDB Blacklist

Posté le de Aucun commentaire ↓
Connecteur OpenCTI

Bonjour à tous, aujourd’hui, je continue avec OpenCTI parce que je vous ai développé un petit connecteur OpenCTI. J’en ai un peu chié :’-) entre le python qui n’est pas ma tasse de thé et le fait que je démarre avec OpenCTI : je suis pas parti avec des bonus là…^^
Mais du coup je me dis que ca vaut le coup de vous partager un peu de ce que j’ai fait, car il y avait de bon trucs à apprendre notamment autour du format Stix.

L’environnement de development.

Alors c’est probablement la partie la plus simple au départ, il suffit quasiment de suivre le guide du projet il peut y avoir quelques subtilité pour déployer Python sur votre Windows avec VSCode et pip mais globalement ça ne se passe pas si mal.

Une fois votre environnement de dev en place, il faut :

  1. Forker le projet OpenCTI connectors sur votre Github
  2. Faire une branche dédié et basculer dessus
  3. Si comme moi vous créer un nouveau connecteur :
    1. Copier le répertoire template
    2. renommer quelques variables/chemin comme indiqué dans la doc.

Jusqu’ici tout va bien.

Le development

Alors la bonne nouvelle c’est comme il existe déjà plein de connecteurs, vous … Lire la suite