Acquisition d’image disque en Forensics – ForensGeek

Forensics

Bonjour à tous, en ce beau jour de printemps je commence une série d’article sur la forensisc (l’inforensique, computer forensics, ou juste forensics dans la pratique). Je commence avec cet article sur l’acquisition d’image disque en Forensics comme c’est le début de tout dans ce domaine. Mais on va remonter doucement au fils des articles les techniques les plus courantes, en partant de la forensics « à froid » et on va essayer d’aller jusqu’à l’analyse « à chaud » avec les images mémoire et on verra si j’ai le courage d’aller jusqu’au image Android. Je vous garantie pas trop de tenir un rythme, mais je vais essayer de repasser sur les principaux sujets important et se faire un peu de contenus propre pour dérouler une analyse sur vos machines préféré.

Acquisition d’image disque en Forensics

FTK Imager

FTK imager est un outil commercial fait par la société AccessData (qui fait aussi un outils d’analyse forensics nommé Forensics Toolkit pour info). FTK imager permet de capturer « bit à bit » l’image complète d’un disque, dans différents formats.

L’avantage de FTK imager est que c’est un outils Windows qui vous permet de faire une image disque d’une machine alors qu’elle … Lire la suite

TA pour fail2ban, ma nouvelle App Splunk

Splunk Logo

Salut à tous, il y a quelques temps je vous ai proposé une App Splunk pour gérer les logs de VSFTPD et cette semaine j’ai réalisé une TA pour fail2ban. On va profiter de l’occasion pour s’attarder sur la structure d’un App Splunk en détaillant le contenu.

Pour ceux qui débarque la précédente App fail2ban proposée sur la splunkbase ne fonctionne pas, date de 2013, et n’est notée compatible qu’avec Splunk 6… Plus exactement, le format de log qu’elle supporte ne correspond plus du tout avec celui de fail2ban en 2019…

Du coup, j’ai fait une TA supportant le format de log de fail2ban actuel (testé sur les versions 0.9.6 et 0.10.2). J’ai appliqué la même démarche que pour VSFTPD et créé l’App via le Splunk Add-on Builder. Je vous laisse rejeter un œil à mon précédent article si vous voulez savoir comment on fait pour développer une App dans Splunk.

« TLDR », elle est où ta TA pour fail2ban ?

Comme celle pour VSFTPD, mon Technology Add-on Splunk pour Fail2ban est sur la Splunkbase. Enjoy !

Regex d’analyse des logs fail2ban

Il y a un élément dans le travail que j’ai fait pour cette App … Lire la suite

App Splunk : développer un TA pour VSFTPD

Splunk Logo

Salut à tous, j’espère que vous avez passé des bonnes vacances ? Aujourd’hui on continue la série d’article sur Splunk et on va intégrer des logs dans Splunk sans utiliser une application existante. On va développer notre propre App Splunk de type « TA » pour intégrer des logs VSFTPD. La documentation officielle de Splunk sur le sujet est ici et .

C’est quoi une « App » Splunk déjà ?

Techniquement, une App Splunk est un ensemble d’éléments Splunk parmi des scripts, rapports, commandes de recherche, d’entrées de données, de sourcetypes, de lookups, d’alertes, etc. packagés ensemble pour une technologie ou un cas d’usage spécifique dans le but de faciliter la vie des utilisateurs, opérateurs ou des admins.

Dans ces Apps, vous entendrez aussi parler d’Add-on de Splunk, il s’agit également d’applications au sens technique, mais dépourvu d’interface graphique.

Et encore parmi ces Add-on, on trouve encore les « TA » (pour « Technology Add-on ») qui sont des Add-on spécialisés dans la collecte, l’analyse et la normalisation (au sens CIM) de sources de données particulières pour aider à leur intégration dans Splunk. Si vous vous souvenez, mes TP Splunk sur Nginx et iptables se basaient sur … Lire la suite