🐔Indicateurs de Compromission (IOC)

Ce sont des artefacts de compromission potentielle et d'intrusion de l'hôte sur le système ou le réseau. Ils peuvent être des MD5, des hachages SHA, des adresses IP, c2, des tailles de fichier, des noms de fichier, des chemins de fichier, des clés de registre, etc.

🛠️ OpenIOC Editor est un excellent outil pour créer des fichiers IOC. FireEye a développé cet outil pour aider à créer des indicateurs spécifiques aux menaces.

🏅 Ajouter un IOC

  • Cliquez sur "add item" pour commencer à spécifier les IOC.

  • Vous pouvez inclure divers types d'IOC tels que des hachages de fichier, des adresses IP, des noms de fichier, etc.

📝 Définir les Propriétés de l'IOC

  • Pour chaque IOC ajouté, spécifiez les valeurs correspondantes. Par exemple, pour un hachage de fichier, entrez le hachage dans le champ approprié.

📚 Ajouter un connecteur logique

🖥️ Utilisation dans Redline

  • Après avoir enregistré le fichier IOC, vous pouvez l'utiliser dans Redline pour rechercher des indicateurs de compromission dans les systèmes analysés.

  • Mettre le nom du dossier dans lequel ce trouve l'IOC (c'est normal si il n'apparit pas dans le lecteur de recherche).

🔍 Termes de Recherche :

  • Unsupported Search Terms : Ils n'afficheront aucun résultat réussi dans Redline, ce qui signifie que Redline ne reconnaît pas les termes de recherche spécifiques.

  • Supported Search Terms : Ceux que Redline reconnaîtra et recherchera.

📌 Modifier le script de collecte

  • Une fois que vous avez configuré le collecteur, vous pouvez modifier le script pour sélectionner quelles données seront collectées pour l'analyse.

Vous pouvez ouvrir le répertoire contenant le package :

🖍️ Lancer le script

  • lancer le script en tant qu'administrateur :

📱Interface

Utilisez la session Redline existante trouvée dans :

C:\Users\Administrator\Documents\Analysis\Sessions\AnalysisSession1

En bas à gauche, cliquez sur Rapports IOC puis Créer un nouveau rapport IOC :

  • Chargez le dossier IOC contenant le fichier IOC

  • Assurez-vous que le fichier IOC est chargé avec une coche

📊 Génération de Rapport IOC :

Si Redline ne génère pas automatiquement le rapport IOC, vous pouvez le faire manuellement en important votre fichier .ioc. Une fois la génération terminée, vous pouvez explorer les "Hits" pour découvrir les résultats de l'analyse.

  • Cliquez maintenant sur OK et attendez que le rapport soit généré. Cela peut prendre encore 5 à 10 minutes. Une fois le chargement terminé, cliquez sur le rapport généré puis cliquez sur le nom de votre fichier IOC.

  • Après cela, cliquez sur Afficher les hits et toutes les informations dont nous avons besoin devraient se charger.

  • Cliquez sur l'onglet Détails à droite pour avoir plus d'informations :

🚫 Attention aux Faux Positifs !

Il est crucial d'éviter les faux positifs en collectant des artefacts précis pour vos fichiers IOC. Cela réduit les erreurs lors de l'analyse des résultats.

🏁Conclusion

Gardez à l'esprit que la qualité de l'analyse dépend étroitement des données que vous choisissez de collecter.

Ce puissant outil vous permet d'explorer une multitude de données, allant des processus en cours d'exécution aux journaux d'événements, en passant par les services et les fichiers.

Au cours de votre exploration, vous avez peut-être constaté l'importance de la Chronologie pour retracer le déroulement des attaques et identifier les actions des attaquants.

Pour approfondir vos connaissances, vous pouvez consulter les guides de l'utilisateur de Redline.

PreviousRedlineNextKAPE

Last updated