Scribd
Importer
102 vues7 pages

Examiner Une Attaque Sur Un Hôte Windows: Institut de Formation Et de Recherche en Informatique (Ifri)

Transféré par

rfahoubo
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
102 vues7 pages

Examiner Une Attaque Sur Un Hôte Windows: Institut de Formation Et de Recherche en Informatique (Ifri)

Transféré par

rfahoubo
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET DE LA

RECHERCHE SCIENTIFIQUE
UNIVERSITER D’ABOMEY-CALAVI

INSTITUT DE FORMATION ET DE
RECHERCHE EN INFORMATIQUE(IFRI)

Travaux pratiques :

Examiner une attaque sur un hôte


Windows

Sous supervision de :
Mr Arnaud AHOUANDJINOU
Groupe 3 :
Membre de Groupe :
DOUCKET Frise-oved
ASSIMADA Carlos

Année Universitaire 2023/2024


PLAN
Partie 1: Enquêter sur l'attaque avec Sguil
Étape 1: Ouvrez Sguil et localisez les alertes
sur 3-19-2019.
Étape 2: Passez en revue les alertes en détail.
Partie 2: Utiliser Kibana pour enquêter sur les
alertes
Étape 1: Ouvrez Kibana et affinez le calendrier
Étape 2: Passez en revue les alertes dans le
délai réduit.
Partie 1: Enquêter sur l'attaque avec Sguil

Étape 1: Ouvrez Sguil et localisez les alertes


sur 3-19-2019.
a. Ouvrez une session sur la machine
virtuelle Security Onion avec le nom
d'utilisateur analyst et le mot de passe
cyberops :

b-Lancer Sguil placé sur le bureau. Connectez-vous avec le


nom d'utilisateur et le mot de passe cyberops. Cliquez sur
Sekect All et sur Start Sguil pour afficher toutes les alertes
générées par les capteurs réseau:
b. Localisez le groupe d'alertes à partir du 19 mars
2019

C’est la partie en belge qui localise ce groupe


d’arlertes.
-Selon Sguil, quels sont les horodatages pour la première
et la dernière des alertes qui ont eu lieu le 3-19- 2019?
• La première alerte a été enregistrée à [Link].
• La dernière alerte a été enregistrée à [Link].

Intéressant à noter, la majorité des alertes ont eu lieu pendant un peu plus de 3
heures, 9 minutes et 31 secondes. Ces alertes indiquent une activité suspecte sur le
réseau pendant cette période.

-Qu'est-ce qui est intéressant à propos des horodatages de


toutes les alertes sur 3-19-2019?

1. Première alerte :La première alerte du 19 mars 2019 a été enregistrée à [Link]
2. Dernière alerte : La dernière alerte du 19 mars 2019 a été enregistrée à [Link]
Observations Intéressantes

1. Distribution des alertes :


Les alertes sont réparties sur une période de 3 heures, 9 minutes et 31 secondes,
indiquant une activité continue ou récurrente pendant un temps d’inactivité

2. Pics d'activité :
Il y a un pic notable d'activité entre [Link] et [Link], avec de nombreuses
alertes générées en succession rapide.
- Un autre pic est visible autour de [Link], ce qui pourrait indiquer une tentative
d'attaque ou une activité malveillante particulière

Étape 2: Passez en revue les alertes en détail

a. Dans Sguil, cliquez sur la première des alertes du 3-19-2019 (ID d'alerte 5.439).
Assurez-vous de cocher les cases Show Packet Data et Show Rule pour examiner
les informations d'en-tête de paquet et la règle de signature IDS liées à l'alerte.
Directement sur l' ID d'alerte et pivotez vers Wireshark. Sur la base des
informations tirées de cette alerte initiale
-Quel est le nom d'hôte, le nom de domaine et l'adresse IP
de l'hôte source dans la mise à jour DNS?

Voilà Wireshark ouvert


Nom d'hôte [Link] Sources
[Link] Destination
Nom de domaine DNS
L'adresse IP de l'hôte source [Link]

Vous aimerez peut-être aussi