Résultats de recherche pour MISC

Cybersécurité et PowerShell – le livre !

Posté le de Aucun commentaire ↓

Bonjour à tous ! Ça y est mon « gros projet » dont je vous parle depuis un mois est sorti sur le site d’éditeur. Et je vous ai donc concocté un livre sur la Cybersécurité et PowerShell !

Cybersécurité et PowerShell, De l'attaque à la défense du système d'information

Voilà c’est mon livre de chevet depuis 6 mois maintenant. Çà m’a occupé mes congés d’été, et d’automne pour le terminer. J’y ai mis tout ce que je pensais utile pour commencer en cybersécurité en se servant de PowerShell. J’y raconte plein de chose que j’ai vu en 10 ans de sécurité des systèmes d’information maintenant. Le tout en 2 grande partie : l’attaque et la défense pour répondre à toutes vos questions sur la sécurité et en traitant les parties techniques avec PowerShell (il y a même un peu de Splunk à la fin du livre).

Je ne peux pas faire ce post sans remercier plein de gens. D’abord : Arnaud (twitter) qui m’a gentiment balancé devant le train mis en contact avec l’éditeur et proposé mon nom pour écrire l’ouvrage ! C’est grâce à lui que je me suis fait laver le cerveau j’ai appris à apprécier PowerShell. Je ne le remercierai jamais assez ! Ensuite, … Lire la suite

Le burnout chez les RSSI ?

Posté le de Aucun commentaire ↓

Bonjour à tous, j’étais aux assises de la cybersécurité édition 2021 il y a deux semaines. Et je voulais vous parlez d’une table ronde sur le sujet du burnout chez les RSSI. Les assises, c’est toujours un évènement sympa et plutôt pratique dans son format pour « les décideurs » (et autres chefs, les techniques passez votre chemin…). Et puis ça permet de revoir des collègues aussi (coucou Jean-Marc :-)). Et puis c’était appréciable de ressortir un peu après deux ans de Covid et presque sans conf du tout…

Alors j’y était pour le boulot, et je vous assure qu’on bosse la bas, malgré la réputation de caviar, champagnes et petits fours des assises (qui n’est pas volée non plus hein ;-). Du coup je ne peux pas vous partager grand chose de ce que j’y ai fait. Mais je peux vous conseiller de réécouter l’enregistrement de la table ronde sur le sujet du burnout chez les RSSI. C’est un sujet de moins en moins tabou et pourtant très mal compris et souvent mal géré en entreprise (et à la maison avec la famille aussi). J’y suis particulièrement attentif pour des raisons personnelles mais je vous invite à vous culturer … Lire la suite

Zéro Trust : anti-SOC, tu perds ton sang froid ?

Posté le de Aucun commentaire ↓

Hello à tous, l’année 2020 a décidément été riche en articles MISC pour moi, et comme pour mes précédentes publications chez eux, j’ai repris la licence de « type B », Du coup aujourd’hui, je vous partage l’article de mars dernier sur le thème de Zero-Trust et le SOC. Tout ça pour vous dire qu’on s’est bien marré avec Thomas et Stephen à écrire ce papier et caler des réf à antisocial…^^ Toujours aussi chouette d’écrire dans MISC. Bref, la lecture de cette semaine, c’est ci-dessous que ça se passe.

Zero Trust : anti-SOC, tu perds ton sang froid ?

MISC n° 110 – juillet 2020, par Stephen Avocanh Jean-Thierry, Ladent Étienne, Burnouf Thomas

Les security operation centers, au sens large, sont aujourd’hui au cœur des systèmes d’information des entreprises. En revanche, beaucoup adoptent encore et toujours une approche traditionnelle de la sécurité du SI. Comment le paradigme Zero Trust va-t-il impacter nos supervisions ? Repensons un peu à toutes ces années de service pour voir ce que Zero Trust peut apporter au SOC, et réciproquement comment ces derniers peuvent accompagner la transition.

Introduction

Le Security Operation Center (SOC) est aujourd’hui un acteur incontournable de l’entreprise avec son cœur … Lire la suite

Transformer un tableau avec plusieurs colonnes dates en évènements

Posté le de Aucun commentaire ↓

Salut à tous, aujourd’hui je voulais m’arrêter sur un cas d’utilisation « à la con 🙂 » de Splunk et plus exactement comment transformer un tableau avec plusieurs colonnes dates en évènements. Niveau contexte, on m’a demandé de suivre les status d’offenses (incident) d’un QRadar dans un Splunk (oui, je sais, ça à l’air con dit comme ça, juste… enfin bref cherchez pas…). Mais comme ce serait trop simple d’avoir des évènements « carrés » qui vous indique ouverture, fermeture, activité, etc. je n’avais à ma disposition que l’option des calls API Rest. Et comme on a beaucoup d’offenses, je ne peux pas non plus faire un fulldump et construire un lookup avec toutes mes offenses. Du coup dernière option jouable faire des exports réguliers des offenses ouvertes ou fermées. En gros, j’exporte mes données avec ces quelques lignes de PowerShell qui interrogent l’API QRadar au début de chaque heure :

function ConvertTo-UnixDateMs ($PSDate) {
        $epoch = [timezone]::CurrentTimeZone.ToLocalTime([datetime]'1/1/1970')
        return (New-TimeSpan -Start $epoch -End $PSDate).TotalSeconds * 1000
}

$start = ConvertTo-UnixDateMs -PSDate ([DateTime]::Today.AddHours($now.Hour - 1))
$end = $start + (2 * 3600 * 1000)

((Invoke-RestMethod ("$urlQradarapi"+"/siem/offenses%3Ffilter%3Dclose_time%20%3E%20"+"$start"+"%20and%20close_time%20%3C%20"+"$end"+"%20or%20start_time%20%3E%20"+"$start"+"%20and%20start_time%20%3C%20"+"$end") -Method GET -Headers @{Version=$apiversion;Accept='application/json';SEC=$apikey}) ConvertTo-Json -Depth 100  | Out-File ("$outoffensesfile") -Encoding utf8)

Et le … Lire la suite