# Indicateurs de Compromission (IOC)

Ce sont des artefacts de compromission potentielle et d'intrusion de l'hôte sur le système ou le réseau. Ils peuvent être des **MD5**, des **hachages** **SHA**, des **adresses** **IP**, **c2**, des **tailles** de **fichier**, des **noms** de fichier, des **chemins** de fichier, des **clés** **de** **registre**, etc.

🛠️  [**OpenIOC Editor**](https://fireeye.market/apps/211404) est un excellent outil pour créer des fichiers IOC. **FireEye** a développé cet outil pour aider à créer des indicateurs spécifiques aux menaces. 

## 🏅 Ajouter un IOC 

* Cliquez sur "**add** **item**" pour commencer à spécifier les IOC.
* Vous pouvez inclure divers types d'IOC tels que des hachages de fichier, des adresses IP, des noms de fichier, etc.

## 📝 **Définir les Propriétés de l'IOC** 

* Pour chaque IOC ajouté, spécifiez les valeurs correspondantes. Par exemple, pour un hachage de fichier, entrez le hachage dans le champ approprié.

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2F6ecvb1oyj8dkszGtJ8BO%2F2024-04-30_11-29.png?alt=media&#x26;token=4e5e6acc-0ef6-430d-b6b1-38723fafd24f" alt=""><figcaption></figcaption></figure>

### 📚 Ajouter un connecteur logique&#x20;

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2Fia7SulNvHlFHmF2FofmS%2F2024-04-30_11-29_1.png?alt=media&#x26;token=9bed03df-1ce5-443f-b0b7-ca7ad3631b8e" alt=""><figcaption></figcaption></figure>

## 🖥️ **Utilisation dans Redline**&#x20;

* Après avoir enregistré le fichier IOC, vous pouvez l'utiliser dans Redline pour rechercher des indicateurs de compromission dans les systèmes analysés.&#x20;
* Mettre le nom du dossier dans lequel ce trouve l'IOC (c'est normal si il n'apparit pas dans le lecteur de recherche).

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2FstemmulhjGDuhAe67CV3%2F2024-04-30_11-38.png?alt=media&#x26;token=e3bec7bb-c788-4aa7-9924-04b3a87575ca" alt=""><figcaption></figcaption></figure>

### 🔍 **Termes de Recherche** :

* **Unsupported Search Terms** : Ils n'afficheront aucun résultat réussi dans Redline, ce qui signifie que Redline ne reconnaît pas les termes de recherche spécifiques.
* **Supported Search Terms** : Ceux que Redline reconnaîtra et recherchera.

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2F6uCbET6JWfPRpidLXHEc%2F2024-04-30_11-47.png?alt=media&#x26;token=448a7fb6-9e8e-4db4-9991-3e47471382ba" alt=""><figcaption></figcaption></figure>

### 📌 Modifier le script de collecte

* Une fois que vous avez configuré le collecteur, vous pouvez modifier le script pour sélectionner quelles données seront collectées pour l'analyse.

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2FtaA3gXYOJA1Vp5SXN4le%2F2024-04-30_11-41.png?alt=media&#x26;token=03026e08-4405-4f5e-80e6-a5791094e0e3" alt=""><figcaption></figcaption></figure>

Vous pouvez ouvrir le répertoire contenant le package :&#x20;

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2FMfIaysMwLj3GQoxZg0LA%2F2024-04-30_14-33.png?alt=media&#x26;token=2a789b01-e2fb-428e-ba29-00202ac6ce5c" alt=""><figcaption></figcaption></figure>

## 🖍️ Lancer le script

* lancer le script en tant qu'administrateur :&#x20;

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2FrfJzT9zGHduBgl8UTsbd%2F2024-04-30_11-43.png?alt=media&#x26;token=7e431a59-42d5-4aaa-b007-50082cd37353" alt=""><figcaption></figcaption></figure>

## 📱Interface

Utilisez la session Redline existante trouvée dans :&#x20;

`C:\Users\Administrator\Documents\Analysis\Sessions\AnalysisSession1`

En bas à gauche, cliquez sur Rapports IOC puis Créer un nouveau rapport IOC :

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2FC64Wcw3suMySPo2w6sMZ%2F2024-04-30_14-44.png?alt=media&#x26;token=baf21f63-5e16-48a5-9d66-d19446fce5a1" alt=""><figcaption></figcaption></figure>

* Chargez le dossier IOC contenant le fichier IOC
* Assurez-vous que le fichier IOC est chargé avec une coche

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2FwcWH6fBnCYxB6t2JbuZQ%2F2024-04-30_14-47.png?alt=media&#x26;token=089ac119-1d6b-495d-9d3a-ec1fb2e78409" alt=""><figcaption></figcaption></figure>

## 📊 **Génération de Rapport IOC** :

Si Redline ne génère pas automatiquement le rapport IOC, vous pouvez le faire manuellement en important votre fichier .ioc. Une fois la génération terminée, vous pouvez explorer les "**Hits**" pour découvrir les résultats de l'analyse.

* Cliquez maintenant sur **OK** et attendez que le rapport soit généré. Cela peut prendre encore 5 à 10 minutes. Une fois le chargement terminé, cliquez sur le **rapport** **généré** puis cliquez sur le **nom de votre fichier IOC.**
* Après cela, cliquez sur **Afficher** **les** **hits** et toutes les informations dont nous avons besoin devraient se charger.

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2F1iESZnd2WMEWxuaKEdHS%2F2024-04-30_14-48.png?alt=media&#x26;token=86ac90fe-ce9e-4089-ad61-04a71c213b7f" alt=""><figcaption></figcaption></figure>

* Cliquez sur l'onglet Détails à droite pour avoir plus d'informations :&#x20;

<figure><img src="https://2405813983-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FY9Ji0LMTnIq0SKF8JfQn%2Fuploads%2FHGd9HK0cu1lXJMeSXdJ5%2F2024-04-30_14-52.png?alt=media&#x26;token=4e866533-848e-4408-a6fa-d40e5771450f" alt=""><figcaption></figcaption></figure>

#### 🚫 **Attention aux Faux Positifs** !

Il est crucial d'éviter les faux positifs en collectant des artefacts précis pour vos fichiers IOC. Cela réduit les erreurs lors de l'analyse des résultats.

## 🏁Conclusion

\
Gardez à l'esprit que la qualité de l'analyse dépend étroitement des données que vous choisissez de collecter.

Ce puissant outil vous permet d'explorer une multitude de données, allant des processus en cours d'exécution aux journaux d'événements, en passant par les services et les fichiers.

Au cours de votre exploration, vous avez peut-être constaté l'importance de la **Chronologie** pour retracer le déroulement des attaques et identifier les actions des attaquants.

Pour approfondir vos connaissances, vous pouvez consulter les [**guides de l'utilisateur** ](https://onlineredlineguide.com/)de Redline.