🔴Redline

Redline est un outil puissant développé par FireEye, conçu pour l'analyse des différences de fichiers et la détection des signes d'intrusion et de compromission sur un système. Ce tutoriel vous guidera à travers le processus de collecte de données à l'aide de Redline, en mettant l'accent sur la méthode du Collecteur standard.

Trois options de collecte de données disponibles dans Redline :

1️⃣ Standard Collector

  • Cette méthode configure le script pour collecter une quantité minimale de données pour l'analyse.

  • C'est généralement la méthode la plus rapide pour collecter les données nécessaires.

  • Elle prend généralement quelques minutes pour être terminée.

  • Idéale lorsque vous avez besoin d'une analyse rapide et que le temps est crucial.

2️⃣ Comrehensive Collector

  • Cette méthode configure le script pour collecter le plus de données possible sur votre hôte pour une analyse plus approfondie.

  • Elle prend plus de temps que le collecteur standard, généralement une heure ou plus.

  • Elle est choisie lorsque vous avez besoin d'une analyse complète et détaillée du système.

  • Utile dans les situations où une compréhension approfondie de l'environnement est nécessaire.

3️⃣ IOC Search collector (Windows uniquement)

  • Cette méthode collecte les données correspondant aux Indicateurs de Compromission (IOC) créés avec l'aide du CIO Éditeur.

  • Utile lorsque vous souhaitez exécuter la collecte de données sur des IOC connus que vous avez recueillis via des informations sur les menaces, une réponse aux incidents ou une analyse de logiciels malveillants.

  • Elle permet de cibler spécifiquement les données associées à des menaces identifiées.

  • Recommandée pour les situations où vous avez des IOC spécifiques à analyser.

Chaque option de collecte de données offre des avantages spécifiques en fonction des besoins de l'analyse. En choisissant la méthode appropriée, vous pouvez obtenir les données nécessaires pour enquêter sur les incidents de sécurité et détecter les signes d'intrusion.

🛠️ Étapes de Collecte de Données

  • Sélectionnez la plateforme cible, dans notre cas, Windows.

  • Sous "Vérifier la configuration du script", cliquez sur "Modifier votre script".

📜 Configuration du script de collecte

Catégorie
Fonctionnalités

🖥️ Mémoire

- Listes de Processus

- Énumération des Pilotes (hôtes Windows uniquement)

- Détection des Hooks (versions antérieures à Windows 10)

💽 Disque

- Partitions et Volumes de Disque

- Énumération des Fichiers

🖥 Système

- Informations sur la Machine et le Système d'Exploitation

- Points de Restauration du Système (versions Windows antérieures à 10 uniquement)

- Énumération des Ruches du Registre (Windows uniquement) -

Comptes d'Utilisateurs

(Windows et Systèmes d'Exploitation X uniquement) -

Groupes (Systèmes d'Exploitation X uniquement)

- Cache de Prélecture (Windows uniquement)

🌐 Réseau

- Informations sur le Réseau

- Historique du Navigateur

🛠️ Autre

- Services

- Tâches

- Hachages

En configurant ces options, vous pouvez collecter les données pertinentes pour votre analyse dans Redline.

🎬 Enregistrement du collecteur

  • Une fois les options de données sélectionnées, cliquez sur "OK".

  • Cliquez sur "Parcourir" sous "Enregistrez votre collecteur dans" et sélectionnez un dossier vide où enregistrer les données collectées.

  • Cliquez sur "OK" pour finaliser.

📝Exécution du script de collecte

  • Accédez au dossier où vous avez enregistré le collecteur.

  • Exécutez le fichier bat "RunRedlineAudit.bat" en tant qu'administrateur.

  • Une fenêtre d'invite de commande s'ouvrira pour indiquer que le script s'exécute.

  • Attendez que le processus de collecte de données soit terminé (cela peut prendre entre 15 et 20 minutes).

📈 Importation des données

  • Une fois le script terminé, un nouveau fichier sera créé dans le dossier "Sessions" avec l'extension .mans.

  • Double-cliquez sur ce fichier pour importer les données d'audit dans Redline à des fins d'enquête.

🔍 Remarque Importante : Si vous exécutez le script plusieurs fois, la convention de dénomination du fichier d'analyse sera incrémentée de 1.

📟 Interface

Lorsque les données sont importées, vous serez présenté avec cette vue :

Dans le panneau de gauche, vous verrez différents types de données d'analyse ; c'est là que vous effectuerez la collecte d'informations et le processus d'investigation.

🖥️ System Information : Détails sur la machine, le BIOS (Windows uniquement), le système d'exploitation et les utilisateurs.

🔄 Processes : Contient différentes informations telles que le Nom du Processus, le PID, le Chemin, les Arguments, le Processus Parent, le Nom d'Utilisateur, etc. Divisé en quatre sections : Poignées, Sections de Mémoire, Chaînes et Ports.

🔗 Handle : Connexions d'un processus à un objet ou une ressource dans un système d'exploitation Windows. Utilisées pour référencer des objets internes comme des fichiers, des clés de registre, etc.

💾 Memory Sections : Permet d'investiguer les sections de mémoire non signées utilisées par certains processus. Utile pour détecter des DLL non signées.

📜 Strings : Informations sur les strings capturées.

🔌 Ports : Section critique pour repérer les connexions sortantes ou entrantes des logiciels malveillants vers leur serveur de commande et de contrôle (C2). Surveillez également les processus système pour éviter la détection.

Certaines des autres sections importantes auxquelles vous devez prêter attention sont :

📁 Système de Fichiers : Permet d'explorer la structure des fichiers sur le système.

🗃️ Registre : Contient des informations cruciales sur la configuration du système, les logiciels installés, les paramètres utilisateur, etc.

⚙️ Services Windows : Liste des services en cours d'exécution sur le système Windows, y compris leur état et leur démarrage automatique ou manuel.

📋 Tâches (Les acteurs de menace aiment créer des tâches planifiées pour la persistance) : Permet de voir les tâches planifiées sur le système, souvent utilisées par les attaquants pour maintenir l'accès.

📜 Journaux d'Événements (un autre endroit idéal pour rechercher les événements suspects de Windows PowerShell ainsi que les événements de connexion/déconnexion, de création d'utilisateur, etc.) : Enregistre les événements système et utilisateur, utile pour retracer les activités suspectes.

🛣️ Entrées ARP et de Routage (non incluses dans cette session d'analyse) : Fournit des informations sur les tables ARP et de routage du système.

🌐 Historique des URL du Navigateur (non inclus dans cette session d'analyse) : Permet de visualiser l'historique de navigation web, y compris les sites visités et les heures d'accès.

📥 Historique des Téléchargements de Fichiers : Liste des fichiers téléchargés sur le système, y compris leur origine et leur destination.

📅 Chronologie

La Chronologie vous aidera à mieux comprendre quand la compromission a eu lieu et quelles étapes l'acteur malveillant a prises pour intensifier l'attaque. La Chronologie enregistrera également chaque action sur le fichier s'il a été créé, modifié, modifié, accédé.

Si vous savez quand la compromission de l'hôte ou l'activité suspecte s'est produite, vous pouvez utiliser TimeWrinkles™ pour filtrer la chronologie uniquement aux événements qui ont eu lieu autour de cette période.

TimeCrunches™ aide à réduire la quantité excessive de données qui ne sont pas pertinentes dans la vue en tableau. Un TimeCrunch cachera les mêmes types d'événements qui se sont produits dans la même minute que vous avez spécifiée.

Vous pouvez en savoir plus sur chaque type d'analyse de données en utilisant le Guide de l'Utilisateur de Redline.

PreviousAutopsyNextIndicateurs de Compromission (IOC)

Last updated