Edito août 22 – Bonnes vacances… à vous !

Salut à toi le geekericien ! Ça fait longtemps que je ne vous ai pas écrit un petit édito, non ? Bon quoi de neuf chez vous déjà ? Moi ça va mieux, ceux qui me suivent sur twitter auront vu que j’ai choppé le Covid début juillet. Juste après être passé au hack, à Bordeaux chez Tehtris et au campus cyber en 5j. Ce n’est pas le virus le plus agréable du monde quand même. Pas de tout repos, mais c’était bien chouette de refaire des confs après 2 ans de pandémie malgré tout.

Autre nouvelle, comme certains d’entre vous le savent, j’ai (encore, diront certains) changé de taf, je suis désormais « CSIRT/SOC manager » dans un grand groupe du secteur du luxe (vous irez voir mon LinkedIn tout seul si ça vous intéresse 🙂 ). Et oui, ça s’arrose ! C’est bien chouette et je ne m’ennuie pas (du tout), mais ce n’est pas un métier pour les

Lire la suite

The Hive & Cortex et installation Docker…

Bonjour à tous, je me suis rendu compte que je ne vous ai jamais parlé du projet The Hive & Cortex. Et comme je refait un peu de docker ces derniers temps, je trouve que c’est l’occasion de vous faire un petit tuto sur The Hive.

The Hive, c’est quoi ?

The Hive est une plateforme open-source de réponse à incident. Open Source jusqu’en version 4, à partir de la 5 c’est un produit commercial (porté par strangebee). Néanmoins la version 4 continue d’être développé et contient les principales fonctionnalités. Le rôle de The Hive est de suivre différentes affaires en affectant des tâches et stockant les preuves collectées, tout en collaborant entre analystes et en s’interconnectant avec d’autres plateformes comme MISP ou des SIEMs. Le produit est très souvent packagé avec Cortex (maintenu par la même équipe) et dont le but est plutôt d’automatiser certaines analyses nécessaires aux investigations (genre des recherches sur AbuseIPDB ou VirusTotal).

Tout ce petit monde est bien évidement accessible par API REST pour venir se brancher un peu partout dans votre SI, ou dehors.

Bref, les deux produits sont une sorte d’embryon de SOAR qui vous permettent de gérer vos tickets, analyses, investigations … Lire la suite

Rsyslog too many open files

Bonjour à tous, aujourd’hui je voulais vous partager une erreur que j’ai rencontrée récemment avec une infra Splunk, plus exactement avec la couche de collecte Rsyslog (vous savez celle que je recommande dans mon podcast sur les 10 commandements du SIEM). Cette erreur qu’on a fini par identifier dans les journaux avec le message suivant « rsyslog too many open files » et plus précisément la ligne suivante :

May 06 05:47:13 myserver rsyslogd[6896]: file '/splunk-inputs/PROXY/myproxyhost/2022-05-06T03+02-PROD-PROXY.log': open error: Too many open files [v8.24.0-41.el7_7.2 try http://www.rsyslog.com/e/2433 ]

Le log d’erreur arrive dans /var/log/message à priori. Néanmoins, de mon côté on ne l’a vu que depuis la commande journalctl, quelques exemples qui m’ont permis de la mettre en avant :

journalctl --no-pager | tail -f
journalctl -u rsyslog
journalctl --no-pager > /tmp/rsyslogtmp.log

Par défaut, la limite pour rsyslog était à 1024 fichiers ouverts simultanément sur notre système. Pas bien clair sur le pourquoi car les limites systèmes (cf. fichier /etc/security/limits.conf) été bien à 64000 :

ulimit -Sn
64000

Pour autant notre processus rsyslog plafonné à 1024 fichiers. Ce qui causait une erreur bien zarb où on perdait 15min de log au début de chaque heure. Du coup, avec l’aide … Lire la suite

Flameshot

Bonjour à tous, aujourd’hui je vous partage juste un pointeur vers un petit outil que les jeunes m’ont conseillé : Flameshot, et c’est par ici que ça se passe :

https://flameshot.org/

Du coup, l’outil complète (voir remplace) bien les capacités de l’outil Capture, présent sur Windows par défaut. Notamment avec une pelleté de raccourcis clavier, et surtout la capacité à éditer votre capture directement dans l’App (mettre des flèches, des encadrés, du texte, flouter un endroit ou surligner un autre).

En double effet kiss-cool, l’outil est open source, sous licence GPL3 qui oblige à conserver le code en open-source si vous voulez faire votre version quand même.

Et en cerise sur le gâteau, celui-ci est disponible pour Windows, Mac et Linux (et pilotable en ligne de commande). Tout ceci ce vous permet d’utiliser le même outil partout. Ce n’est pas négligeable si, comme moi, vous travaillez avec plusieurs OS au quotidien.

Flameshot

Bref, c’est plutôt pas mal du tout ce truc. Aussi je vous invite à regarder, l’essayer et probablement l’adopter. Pour les téléchargement, c’est sur le GitHub : https://github.com/flameshot-org/flameshot/releases/latest

Capturez bien !… Lire la suite