Backup Cloud Archive d’OVH

Bonjour à tous, aujourd’hui on va parler de nouveau d’archivage cloud avec les Backup Cloud Archive d’OVH. En effet, depuis que j’ai basculé le serveur sur l’offre eco d’ovh (genre vers mi-avril) je n’ai plus les 100Go de Stockage FTP offert que j’avais chez Scaleway (mais j’ai une machine 2 fois plus costaud pour 1€ de plus). Du coup, il y a un petit jeune au taf qui m’a conseillé de regarder l’offre Cloud Archive d’OVH.

Cloud Archive d’OVH ?

L’offre Cloud Archive est une offre de stockage long terme un peu à la Amazon glacier. L’avantage par rapport à un backup « manuel » c’est que vous êtes direct sur une offre « redondée » avec du contrôle d’intégrité. Le gros avantage de Cloud Archive par rapport à AWS Glacier que j’avais testé précédemment c’est qu’il est possible de charger les donnée en SSH avec du SFTP ou Rsync par exemple. Ce qui est un poil (beaucoup) plus simple que l’API REST d’amazon.

La contrepartie, c’est que la facturation est un peu différente et qu’on paye au stockage et à l’upload des données cette fois. Bon après ce n’est pas trop cher non plus, hein. En gros actuellement, si … Lire la suite

Flameshot

Bonjour à tous, aujourd’hui je vous partage juste un pointeur vers un petit outil que les jeunes m’ont conseillé : Flameshot, et c’est par ici que ça se passe :

https://flameshot.org/

Du coup, l’outil complète (voir remplace) bien les capacités de l’outil Capture, présent sur Windows par défaut. Notamment avec une pelleté de raccourcis clavier, et surtout la capacité à éditer votre capture directement dans l’App (mettre des flèches, des encadrés, du texte, flouter un endroit ou surligner un autre).

En double effet kiss-cool, l’outil est open source, sous licence GPL3 qui oblige à conserver le code en open-source si vous voulez faire votre version quand même.

Et en cerise sur le gâteau, celui-ci est disponible pour Windows, Mac et Linux (et pilotable en ligne de commande). Tout ceci ce vous permet d’utiliser le même outil partout. Ce n’est pas négligeable si, comme moi, vous travaillez avec plusieurs OS au quotidien.

Flameshot

Bref, c’est plutôt pas mal du tout ce truc. Aussi je vous invite à regarder, l’essayer et probablement l’adopter. Pour les téléchargement, c’est sur le GitHub : https://github.com/flameshot-org/flameshot/releases/latest

Capturez bien !… Lire la suite

Antivirus, PowerShell et ORC pour le Live-Forensics – MISC HS n°23

Hello à tous, l’année 2021 avait été généreuse en articles MISC aussi, et comme pour toutes mes précédentes publications chez MISC, j’ai repris la licence de « type B », Du coup aujourd’hui, je peux vous repartager sur le blog l’article sur les Antivirus, PowerShell et ORC pour le Live-Forensics, paru dans le hors série n°23 qu’on avait écrit avec PYL et Keny.

J’en profite pour préciser que si on jamais publié le code « complet » de Get-SPICE (shame on us), celui sert bien et est toujours en developpement à EDF au moment ou j’écrit ces lignes.

On a quand même publier l’agent au propre sur le GitHub Cyber d’EDF ce qui devrait vous permettre de sortir votre propre agents light rapidement.

https://github.com/SOC-EDF

Voilà c’est tout. Bonne lecture à tous et @+


Antivirus, PowerShell et ORC pour le Live-Forensics

MISC HS 23 | mars 2021 | Ladent Étienne, Lascaux Pierre-Yves, Saint Hilaire Keny

Dans un parc informatique de plusieurs dizaines de milliers de postes, détecter, chercher et récupérer des artefacts à distance est un travail difficile. Les outils de live-forensics et EDR sont les solutions généralement retenues pour ces usages, néanmoins leur mise Lire la suite

BlockList iptable avec Splunk et d’AbuseIPDB

BlockList iptable avec Splunk et d'AbuseIPDB

Bonjour à tous, aujourd’hui je continue avec un article qui suit ce qu’on avait fait avec la Blacklist Iptables AbuseIPDB la dernière fois. Cette fois on va voir comment construire une BlockList iptable avec Splunk et d’AbuseIPDB.

Qu’est ce que j’entends derrière ce titre ? Simplement que la blacklist ma dernière fois n’est pas très « maline ». Dans le sens, où on verrouille juste 10 000 IP comme des bourrins et sans trop se demander si les vulns ou services qu’elles checkent nous concerne en effet. Alors, ça ne sert pas à rien hein. C’est une bonne base à bloquer facilement mais ce n’est pas forcément utile dans le sens où ces 10 000 ne se connecterons pas forcément à votre site ou infra au final.

En effet, ce qu’on souhaiterai plus, notamment dans une optique de CTI (Cyber threat Intelligence) : c’est de bloquer (sinon détecter au moins) celles qui se connectent effectivement sur nos services (genre à la fail2ban). Le problème c’est que fail2ban c’est bien en protection mono instance. Mais, quand vous protégez tout un système d’information, ça ne passe pas super bien à échelle. Par exemple, je vous laisse imaginez quand vous … Lire la suite